SetYun-教您优惠购买云主机!
标题:
【安全预警】关于 Jenkins 远程命令执行漏洞的通知
[打印本页]
作者:
SetYun
时间:
2018-12-7 12:29
标题:
【安全预警】关于 Jenkins 远程命令执行漏洞的通知
尊敬的腾讯云客户,
您好:
近日,腾讯云安全中心监测到通用应用集成平台 Jenkins 发布了最新的安全公告,披露了 4 个安全问题,包括一个严重的代码执行漏洞(SECURITY-595),攻击者可利用漏洞获取用户敏感信息,导致权限提升,实施远程代码执行等攻击。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Jenkins 对 HTTP 请求的处理依赖于 Stapler Web 框架。在 Stapler 中,任何名称以 get 开头且具有 string,int,long 或者没有参数的公共方法都可以访问对象。这一命名约定特性与 Java 中的代码模式非常相似,容易导致混淆。攻击者可以通过构造恶意的 URL 调用实现越权访问对象,进一步获取用户敏感信息,导致权限提升,实施远程代码执行等攻击。
【风险等级】
高风险
【漏洞风险】
信息泄露,权限提升,远程代码执行
【影响版本】
目前已知受影响版本如下:
Jenkins weekly 2.153 及之前版本
Jenkins LTS 2.138.3 及之前版本
【安全版本】
Jenkins weekly 2.154 版本
Jenkins LTS 2.138.4 版本
Jenkins LTS 2.150.1 版本
【修复建议】
目前官方已经发布新版本进行了统一修复,如在受影响范围,建议参照【安全版本】及时进行加固或升级操作。
新版本下载地址:
https://jenkins.io/download/
【备注】建议您在升级前做好数据备份工作,避免出现意外。
【漏洞参考】
1)官方通告:
https://jenkins.io/security/advisory/2018-12-05/
欢迎光临 SetYun-教您优惠购买云主机! (http://news.setyun.cn/)
Powered by Discuz! X3.3