内容纲要
概要说明
Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。
详细说明
漏洞的详情:
更多详情参考:
https://xz.aliyun.com/t/2233
1、漏洞修复方案
安扫发现aquila对应的springboot2.1.3版本中的/actuator/health 存在安全隐患
解决方案
1.修改/var/lib/transwarp-manager/master/content/meta/services/AQUILA/manager-7.0.1908a-final/metainfo.yaml (注意路径里的版本号),如图所示,此文件中的几处都必须要改(aquila版本不同,数量不同;大概:manager-7.0.1908a-fina仅需修改1处;aquila1.3.0需要修改3处)
2.在/var/lib/transwarp-manager/master/content/meta/services/AQUILA/manager-7.0.1908a-final/templates/server/application.yml.ftl 和/var/lib/transwarp-manager/master/content/meta/services/AQUILA/manager-7.0.1908a-final/templates/agent/application.yml.ftl (注意路径里的版本号)文件的末端,加入一下参数。如图所示
3.配置服务,重启aquila组件