专栏首页绿盟科技安全情报【威胁通告】FusionAuth远程命令执行(CVE-2020-7799)漏洞威胁通告

【威胁通告】FusionAuth远程命令执行(CVE-2020-7799)漏洞威胁通告

通告编号:NS-2020-0004

2020-02-03

TAG:

Apache Freemarker、FusionAuth、远程命令执行、CVE-2020-7799

漏洞危害:

使用有效账号登陆后,攻击者利用此漏洞,可造成远程命令执行。

版本:

1.0

1

漏洞概述

北京时间1月28日,NVD发布了一个FusionAuth存在Apache Freemarker模板远程命令执行(CVE-2020-7799)的漏洞;发现在FusionAuth中经过身份验证的用户可以编辑电子邮件模板(Home->Settings->Email Templates)或主题(Home->Settings->Themes),从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker.template.utility.Execute在底层操作系统上执行任意命令。

FusionAuth是现代的访问管理开源应用程序,可以与多种技术和平台集成。可以通过管理仪表板以多种方式配置和自定义FusionAuth,为任何应用程序提供身份验证、授权和用户管理;由于使用Apache FreeMarker模板引擎,且未对用户输入数据进行过滤,此漏洞将对服务器安全造成严重威胁,目前PoC已公开,请相关用户及时进行防护。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2020-7799

SEE MORE →

2影响范围

受影响版本

  • FusionAuth <= 1.10.1

不受影响版本

  • FusionAuth >= 1.11

3漏洞检测

3.1 版本检测

相关用户可通过版本检测的方法判断当前应用是否存在风险。

在web管理页面左下方可查看当前所使用的FusionAuth版本:

若当前版本在受影响范围内,则可能存在安全风险。

4漏洞防护

4.1 官方升级

4.1.1 快速升级

选择快速安装的用户可以使用如下方法升级FusionAuth到最新版本:

Linux:

使用ZIP包方式安装的用户,首先进入应用的安装目录下,停止当前程序:

/bin/shutdown.sh

进入安装目录的上级目录(例:安装目录为/usr/local/fusionauth,则进入/usr/local/目录),执行以下命令进行升级:

sh -c "curl -fsSL https://raw.githubusercontent.com/FusionAuth/fusionauth-install/master/install.sh | sh -s - -z"

进入安装目录,启动程序:

/bin/startup.sh

使用DEB或RPM包安装的用户,执行以下命令进行升级:

sh -c "curl -fsSL https://raw.githubusercontent.com/FusionAuth/fusionauth-install/master/install.sh | sh"

启动程序:

sudo service fusionauth-search startsudo service fusionauth-app start

Windows:

进入安装目录下,停止当前程序:

net stop FusionAuthAppnet stop FusionAuthSearch

安装最新版本:

iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/FusionAuth/fusionauth-install/master/install.ps1')

启动程序:

\bin\startup.bat

详细升级过程可参考官方的升级文档:

https://fusionauth.io/docs/v1/tech/installation-guide/fast-path

4.1.2 手动升级

选择手动安装的用户可以使用如下方法升级FusionAuth到最新版本:

Linux:

进入安装目录,停止程序并进行卸载:

# 停止程序/bin/shutdown.sh# 卸载rm -rf ./fusionauth-apprm -rf ./fusionauth-searchrm -rf ./bin

访问以下链接下载最新的程序包(1.14.0版):

https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.14.0/fusionauth-app-1.14.0.zip

https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.14.0/fusionauth-search-1.14.0.zip

进入安装目录,解压安装包:

unzip -nq new-fusionauth-app.zipunzip -nq new-fusionauth-search.zip

启动程序:

/bin/startup.sh

Windows:

进入程序安装目录,停止程序并进行卸载:

# 停止程序net stop FusionAuthAppnet stop FusionAuthSearch# 卸载程序cd \fusionauth\fusionauth-app\apache-tomcat\binFusionAuthApp.exe /uninstallcd \fusionauth\fusionauth-search\elasticsearch\binFusionAuthSearch.exe /uninstall# 移除原目录cd \fusionauthmove fusionauth-app fusionauth-app-oldmove fusionauth-search fusionauth-search-old

访问以下链接下载最新的程序包(1.14.0版):

https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.14.0/fusionauth-app-1.14.0.zip

https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.14.0/fusionauth-search-1.14.0.zip

将上述压缩包解压后,进行安装:

# 安装cd \fusionauth\fusionauth-app\apache-tomcat\binFusionAuthApp.exe /installcd \fusionauth\fusionauth-search\elasticsearch\binFusionAuthSearch.exe /install# 启动程序net start FusionAuthSearchnet start FusionAuthApp

详细升级过程可参考官方升级文档:

https://fusionauth.io/docs/v1/tech/installation-guide/upgrade

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司 (简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:绿盟安全服务部

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【漏洞预警】Weblogic反序列化漏洞(绕过CVE-2019-2725)0day预警通告

    近日,绿盟科技安全团队发现针对Oracle Weblogic的在野漏洞利用,攻击特征与CVE-2019-2725类似。此攻击可以绕过Oracle官方在4月份发布...

    绿盟科技安全情报
  • 【漏洞预警】Jenkins Git client插件远程命令执行漏洞(CVE-2019-10392)预警通告

    近日,Jenkins官方发布了Git client插件远程命令执行漏洞的安全公告,漏洞编号为:CVE-2019-10392,官方定级为高危。该漏洞存在于Git客...

    绿盟科技安全情报
  • 【漏洞预警】Jackson-databind远程代码执行(CVE-2019-12384)预警通告

    6月21日,Redhat官方发布jackson-databind漏洞(CVE-2019-12384)安全通告,多个Redhat产品受此漏洞影响,CVSS评分为8...

    绿盟科技安全情报
  • 春节充电系列:李宏毅机器学习笔记13之无监督学习:主成分分析(PCA)

    【导读】我们在上一节的内容中已经为大家介绍了台大李宏毅老师的机器学习课程的半监督学习,这一节将主要针对讨论无监督学习:主成分分析(PCA)。本文内容涉及机器学习...

    WZEARW
  • 智能硬件-WIFI模块测试

    客户端:我们在客户端安装所测机器上安装Performance Endpoint,查看客户端IP。

    用户6367961
  • Caffe2 - (二十一) Detectron 之模型训练及数据加载流程

    根据训练过程 train_net.py,大致梳理下 Detectron 的训练过程和训练时数据加载过程.

    AIHGF
  • vue小白快速入门

    一、vue是什么 Vue 是一套用于构建用户界面的渐进式框架。 压缩后仅有17kb 二、vue环境搭建 你直接下载并用 <script> 标签引入,Vue 会被...

    柴小智
  • 春节充电系列:李宏毅2017机器学习课程学习笔记19之迁移学习(Transfer Learning)

    【导读】我们在上一节的内容中已经为大家介绍了台大李宏毅老师的机器学习课程的deep generative model (part 2),这一节将主要针对讨论tr...

    WZEARW
  • 利用 entry/onpremise 搭建一个 Sentry 异常汇总工具

    之前我们说过利用「钉钉群」来通知 Laravel 的异常,但我们发现钉钉的作用更多的是通知我们有异常了,要跟进异常问题了。

    叶梅树
  • Vue:基于Vue2的饿了么实战总结

    MrTreasure

扫码关注云+社区

领取腾讯云代金券