漏洞描述
近日由奇安信云影实验室安全研究员WuXiong提交给Apache IoTDB (incubating)的漏洞被披露.在其配置文件中默认启用JMX监视服务并将对公网监听一个31999的RMI端口,且无需进行任何身份验证,配合JMX RMI将会导致远程代码执行.亚信安全网络攻防实验室在第一时间研究并复现该漏洞,确认该漏洞真实存在.
CVE编号
CVE-2020-1952
漏洞威胁等级
高危
影响范围
0.9.0
0.9.1
0.8.0
0.8.2
漏洞验证
使用受漏洞影响的版本进行验证
修复建议
1.禁止31999的RMI端口对外开放
2.升级至0.9.2
时间轴
[0] 2020/04/28 亚信安全网络攻防实验室研究并复现该漏洞发布漏洞预警
Reference
https://nvd.nist.gov/vuln/detail/CVE-2020-1952
https://seclists.org/oss-sec/2020/q2/73