腾讯云公告 > 公告详情

【安全预警】关于 Jenkins 远程命令执行漏洞的通知

尊敬的腾讯云客户,您好:
       近日,腾讯云安全中心监测到通用应用集成平台 Jenkins 发布了最新的安全公告,披露了 4 个安全问题,包括一个严重的代码执行漏洞(SECURITY-595),攻击者可利用漏洞获取用户敏感信息,导致权限提升,实施远程代码执行等攻击。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
  Jenkins 对 HTTP 请求的处理依赖于 Stapler Web 框架。在 Stapler 中,任何名称以 get 开头且具有 string,int,long 或者没有参数的公共方法都可以访问对象。这一命名约定特性与 Java 中的代码模式非常相似,容易导致混淆。攻击者可以通过构造恶意的 URL 调用实现越权访问对象,进一步获取用户敏感信息,导致权限提升,实施远程代码执行等攻击。

【风险等级】
   高风险
 
【漏洞风险】
  信息泄露,权限提升,远程代码执行
 
【影响版本】
目前已知受影响版本如下:
Jenkins weekly 2.153 及之前版本
Jenkins LTS 2.138.3 及之前版本

【安全版本】
Jenkins weekly 2.154 版本
Jenkins LTS 2.138.4 版本
Jenkins LTS 2.150.1 版本
 
【修复建议】
目前官方已经发布新版本进行了统一修复,如在受影响范围,建议参照【安全版本】及时进行加固或升级操作。
新版本下载地址:https://jenkins.io/download/ 
【备注】建议您在升级前做好数据备份工作,避免出现意外。 

【漏洞参考】


img

2018-12-06