打印 上一主题 下一主题

【安全预警】关于 Jenkins 远程命令执行漏洞的通知

跳转到指定楼层
楼主
SetYun 发表于 2018-12-7 12:29:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:       近日,腾讯云安全中心监测到通用应用集成平台 Jenkins 发布了最新的安全公告,披露了 4 个安全问题,包括一个严重的代码执行漏洞(SECURITY-595),攻击者可利用漏洞获取用户敏感信息,导致权限提升,实施远程代码执行等攻击。       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】
  Jenkins 对 HTTP 请求的处理依赖于 Stapler Web 框架。在 Stapler 中,任何名称以 get 开头且具有 string,int,long 或者没有参数的公共方法都可以访问对象。这一命名约定特性与 Java 中的代码模式非常相似,容易导致混淆。攻击者可以通过构造恶意的 URL 调用实现越权访问对象,进一步获取用户敏感信息,导致权限提升,实施远程代码执行等攻击。


【风险等级】
   高风险

【漏洞风险】
  信息泄露,权限提升,远程代码执行

【影响版本】
目前已知受影响版本如下:
Jenkins weekly 2.153 及之前版本
Jenkins LTS 2.138.3 及之前版本

【安全版本】
Jenkins weekly 2.154 版本
Jenkins LTS 2.138.4 版本
Jenkins LTS 2.150.1 版本


【修复建议】
目前官方已经发布新版本进行了统一修复,如在受影响范围,建议参照【安全版本】及时进行加固或升级操作。
新版本下载地址:https://jenkins.io/download/

【备注】建议您在升级前做好数据备份工作,避免出现意外。

【漏洞参考】
  1)官方通告:https://jenkins.io/security/advisory/2018-12-05/




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-22 23:32 , Processed in 0.036920 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表