【安全预警】关于 Jenkins 远程命令执行漏洞的通知

尊敬的腾讯云客户，您好：       近日，腾讯云安全中心监测到通用应用集成平台 Jenkins 发布了最新的安全公告，披露了 4 个安全问题，包括一个严重的代码执行漏洞(SECURITY-595)，攻击者可利用漏洞获取用户敏感信息，导致权限提升，实施远程代码执行等攻击。       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。


【漏洞详情】
  Jenkins 对 HTTP 请求的处理依赖于 Stapler Web 框架。在 Stapler 中，任何名称以 get 开头且具有 string，int，long 或者没有参数的公共方法都可以访问对象。这一命名约定特性与 Java 中的代码模式非常相似，容易导致混淆。攻击者可以通过构造恶意的 URL 调用实现越权访问对象，进一步获取用户敏感信息，导致权限提升，实施远程代码执行等攻击。


【风险等级】
   高风险

【漏洞风险】
  信息泄露，权限提升，远程代码执行

【影响版本】
目前已知受影响版本如下：
Jenkins weekly 2.153 及之前版本
Jenkins LTS 2.138.3 及之前版本

【安全版本】
Jenkins weekly 2.154 版本
Jenkins LTS 2.138.4 版本
Jenkins LTS 2.150.1 版本


【修复建议】
目前官方已经发布新版本进行了统一修复，如在受影响范围，建议参照【安全版本】及时进行加固或升级操作。
新版本下载地址：https://jenkins.io/download/

【备注】建议您在升级前做好数据备份工作，避免出现意外。

【漏洞参考】
  1）官方通告：https://jenkins.io/security/advisory/2018-12-05/