专栏首页云鼎实验室的专栏预警 | Nexus Repository Manager 3 访问控制缺失及远程代码执行漏洞安全预警

预警 | Nexus Repository Manager 3 访问控制缺失及远程代码执行漏洞安全预警

近日,腾讯安全云鼎实验室发现了通用软件包仓库管理服务 Nexus Repository Manager 3 存在访问控制缺失及远程代码执行漏洞(漏洞编号:CVE-2019-7238),并第一时间向 Sonatype 公司汇报,协助其修复漏洞。

2019年2月5日,Sonatype 官方发布安全公告,公开致谢腾讯安全云鼎实验室安全研究员 Rico 和长亭科技安全研究员 voidfyoo。

公告链接:https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019

此漏洞发现后,腾讯云已第一时间自检并确认不受该漏洞影响,同时为客户提供了防御和检测能力。

为避免您的业务受影响,腾讯云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞概述

由于 Nexus Repository Manager 3 访问控制措施缺失,未授权的用户可利用该问题构造特定请求在服务器上执行 Java 代码,从而达到远程代码执行的目的,影响系统安全。

目前官方已经通过添加访问控制措施和禁用服务器上特定路径的 Java 代码执行能力来缓解该漏洞。

【风险等级】高风险

【漏洞危害】远程代码执行

影响版本

Nexus Repository Manager  OSS/Pro 3.6.2 版本到 3.14.0 版本

安全版本

Nexus Repository Manager OSS/Pro 3.15.0 版本

修复建议

目前官方已经发布新版本修改了该漏洞,建议您参照上述【安全版本】升级到对应的最新版本。

最新版本下载链接:

https://help.sonatype.com/repomanager3/download

腾讯安全云鼎实验室 关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。

本文分享自微信公众号 - 云鼎实验室(YunDingLab)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-02-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 百万奖金池!TSRC推出腾讯会议专项安全众测,快来挖洞

    受疫情影响,远程办公软件在全球范围内需求激增,同时也面临着巨大的安全风险和挑战。 4月8日,腾讯方面宣布,腾讯安全应急响应中心(TSRC)将联合云鼎实验室、...

    云鼎实验室
  • 腾讯云上攻防战事(二)丨漏洞收敛,使敌不知其所攻

    善攻者,敌不知其所守;善守者,敌不知其所攻——《孙子兵法》 网络安全圈流传着这样一句话:世界上只有两种企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却...

    云鼎实验室
  • 【内有福利】真实云上攻防10.24开战,探索产业安全新边界

    你可能听说过给手机、电脑、智能设备、甚至智能网联汽车找漏洞,给云服务“挖”漏洞的比赛,见过吗? 云计算在现实世界正在扮演者越来越重要的角色,用户衣食住行的背后...

    云鼎实验室
  • SAP最佳业务实践:SD–客户寄售(119)-3寄售结算

    一、VA01寄售发货订单 客户会定期报告所销售的商品数量或者当前库存中的商品数量(存货)。 输入记录寄售库存发货的相应订单。 为来自客户站点外部库存的发货创建开...

    SAP最佳业务实践
  • git版本回退, github版本回退

    上周提交了更改,过了周末回来说要撤销上个story。于是,需要找到上周提交的版本,rollback回来。 git版本管理命令,自从习惯使用管理工具之后就很少接触...

    Ryan-Miao
  • SpringBoot与SpringCloud的版本对应

    学习框架之前必须要了解版本,这是你学习的前提,如果不了解版本,后面出了莫名其妙的错误你会抓狂。

    斯文的程序
  • 报名倒计时 | 全球数字生态大会腾讯安全分论坛即将亮相昆明

    5月21日-23日,腾讯全球数字生态大会将在云南昆明举办。目前已开启报名通道,扫描下方小程序码即可参与报名。 (报名截止时间:5月11日24:00)  ? ...

    腾讯云安全
  • Python下将一般对象打印成Json

      有的时候,我们写Python程序需要处理复杂对象,过程中调试可能需要去看看产生的对象如何,我们可以把它打印成json来看,这是个不错的办法。

    窗户
  • IDEA 惊天 bug:进程已结束,退出代码 1073741819

    由于昨天要写的文章没有写完,于是今天早上我四点半就“自然醒”了,心里面有事,睡觉也不安稳。洗漱完毕后,我打开电脑,正襟危坐,摆出一副要干架的态势,不能再拖了。

    沉默王二
  • 实验理解ADMIN OPTION和GRANT OPTION的用法

    使用GRANT赋予用户权限的时候通常有ADMIN OPTION和GRANT OPTION这两个OPTION。下面使用简单的实验来体会下这两种授权的用途。

    bisal

扫码关注云+社区

领取腾讯云代金券