重要通知丨JumpServer漏洞通知及修复方案（JS-2023.09.15）

原创

FIT2CLOUD飞致云

资讯

09/20 18:20

阅读数 5.1K

本文被收录于专区

开源治理

进入专区参与更多专题讨论

2023年9月11日，有用户反馈发现JumpServer开源堡垒机存在安全漏洞，并向JumpServer开源项目组进行上报。

此次发现的漏洞为：

■ JumpServer的权限管理存在“未授权情况下可以访问录像文件”的漏洞，漏洞编号为CVE-2023-42442。漏洞详情请查看：https://github.com/jumpserver/jumpserver/security/advisories/GHSA-633x-3f4f-v9rw。

以上漏洞影响版本为：

JumpServer v3.0.0-v3.5.4版本

JumpServer v3.6.0-v3.6.3版本

安全版本为：

JumpServer版本= v3.5.5版本

JumpServer版本>= v3.6.4版本

修复方案

升级JumpServer软件至上述安全版本。

展开阅读全文

加载中

热门评论

小xu中年 2023-12-06 17:07

挺好

cczywyc 2023-12-04 11:14

不要混淆概念，大家从来都不是反对收费，它是违反了 MIT 开源协议，明白吗？

asdfghjkl12345678 2023-12-06 17:20

这个你怎么判断? 获取国家的假期接口吗? 还是有自定义假期安排功能(和数据库相关)?

更

更简单更通用更流行 2023-12-01 14:48

上船的时候告诉你免费，到河中间了说要收钱，难不成你还跳下去？

PynixWang 2023-12-06 18:47

那我为什么不直接使用python呢。。

wangmj 2023-12-06 17:00

据公开资料，格灵深瞳是一家专注于计算机视觉和人工智能的公司，公司自成立以来，一直致力于研发具有自主知识产权的人工智能技术，为各行业提供智能化升级改造方案。目前，格灵深瞳已经成功应用于安防、金融、交通、零售等领域。这才是科技公司该有的样子，该发挥的作用之一。

思北谢Special 2023-12-02 10:36

开始用MIT完全不限制商用这个宽松协议，忽悠大家用上，很多程序员冒着被质疑，去说服公司用，如果你是GPL有多少敢用？而一旦大家用上了，轻易更换代价很大，这时候封闭文档收费，完全撕毁MIT协议，这么玩，其实是损害了所有国产开源软件的信誉度，所有国产开源软件的同仁都应该出来抵制，在社会里，大家要遵守一些底线，当有人突破了底线开始赚钱的时候，其实是损害了同行的信誉度，而那些守规矩的人将更加难以生存，当有人再想以MIT协议推出开源软件的时候，大家就会说：国产的软件用MIT协议你也敢信？

Tinywan 2023-12-06 18:46

详细安装教程： https://mp.weixin.qq.com/s/q_-keG3clvs7Hii-oEW3RQ

KaimingWan 2023-12-06 16:54

完全兼容rocketmq的，并没有全部重写，找了一个合适的切面做改造

angelshaka 2023-12-06 18:08

还得是熟悉的快

GF47 2023-12-06 18:08

现实情况是：十年前，我们就差一个程序员了。十年后，爷早赚完钱去股市沉浮了，程序员，什么是程序员？

桐乡张学友 2023-12-02 10:06

自己翻评论，六月份的，承诺源码和文档永久开源，自己打自己脸

HOBO浪子 2023-12-06 17:09

AI LOGO生成的🙈

魔力猫 2023-12-03 23:49

你说的，不犯法，错误。只是证据困难，前期调查成本大收益小，不然真下力气，按XF第二百七十四条立案是有可能的。

zhuzhua 2023-12-04 14:57

对的，坐船到河中间，开始收费了，和TM劫道的有啥区别？学水浒传呢？

Hw730 2023-12-06 18:09

Furion我们也一直使用，而且也有赞助。这种形式上的收费感觉不好，有待商榷。项目到一定程度以后不能任意的调整发展模式。如果实在是困难那么就开出来一个商业版本即可，或者下一个完全闭源的版本，这样大部分人也能理解。挣钱无可厚非。

更

更简单更通用更流行 2023-12-01 14:47

开源界的毒瘤, 冒充微软MVP, 自己造了一个MIP,

我

我是MN 2023-12-01 14:15

说穿了跟勒索没什么区别，还说的这么清新脱俗😅

从今以后 2023-12-05 09:24

这根本不是钱不钱的问题，就这就是赤裸裸的诈骗！现骗你过来说没有套路。等你用上了，再改协议。他今日可以文档收费，他日也可以其他地方再套路收费。

梅子酒好吃 2023-12-06 16:22

很简单的。。。你参考下其它两个 mybatis-扩展的适配。。。基于 mybatis-solon-plugin 的支持，估计100行代码左右

cczywyc 2023-12-04 11:12

不要混淆概念，大家从来都不是反对收费，所以别在这扯什么人生价值、情商智商乱七八糟的。本质上这是违反 MIT 协议的问题，别在这又当又立的。

ZCShou 2023-12-04 09:28

人家@AdminBj也没抨击你，只是客观评论，你这个就给人扣了个社交平台宣泄引众议的帽子！无论买不买 VIP，人家都有权在任何平台发表自己的言论，你的 VIP 还包括限制用户发言的条款么？以后会不会加任何时候必须对你唯命是从的条款啊

技术粉 2023-12-01 14:55

别人说心里话叫宣泄，你这叫什么？报复社会？

临风笑笑 2023-12-04 15:39

UOSCN 2023-12-03 20:34

对话百小僧，首先你这肯定是不犯法，但是违背行业规则，破坏行业规则；破坏的是技术圈开源精神，违背行业规则。如果行业人员多数认为不合理。那就用脚投票，过度完这波就换架构吧。毕竟一个人的诚信还是很重要的。本来互联网技术圈基于信任使用了你的框架，但是现在中途收费，这算什么，在绝大多数人认知里都认为是割韭菜吧；记得作者号称千万star吗？看看最近购买文档、VIP数量，实际转化率不足1%，这些转化率是否包含了采用框架去开发后不得不购买的原因，所以大家都是用脚投票，但是有些人不得不屈服；