(CVE-2020-1952)漏洞通告
1. 漏洞类型:
TAG: |
错误配置、远程代码执行 |
危害等级: |
高 |
应急等级: |
黄色 |
2. 漏洞影响:
该漏洞(CVSS评分9.8)存在其配置文件中默认开启了JMX监视服务,并将对公网监听一个31999的RMI端口,且无需进行任何的身份验证,配合JMX RMI将会导致远程代码执行漏洞,若目标服务器存在相关版本的Apache IoTDB,攻击者可利用公开工具攻击实现远程代码执行。
3. 受影响版本:
- Apache IoTDB 0.9.0
- Apache IoTDB 0.9.1
- Apache IoTDB 0.8.0
- Apache IoTDB 0.8.2
4. 其他防护建议:
工具使用环境:JDK 8
1、 禁止31999的RMI端口对外开放
2、 升级版本至0.9.2