【漏洞预警】Jenkins Git client插件远程命令执行漏洞(CVE-2019-10392)预警通告

预警编号:NS-2019-0041

2019-09-23

1

漏洞概述

近日，Jenkins官方发布了Git client插件远程命令执行漏洞的安全公告，漏洞编号为：CVE-2019-10392，官方定级为高危。该漏洞存在于Git客户端插件中，若攻击者获取到具有Job/Configure权限的账号，可在Jenkins服务器上执行任意系统命令。

Jenkins是一款基于Java开发的开源项目，用于持续集成和持续交付的自动化中间件，是开发过程中常用的产品，来自绿盟科技威胁情报的数据，将近有4万Jenkins服务开放在公网。为保证Jenkins服务器的安全，建议相关用户将受影响的Jenkins插件升级至修复版本。

参考链接：

https://jenkins.io/security/advisory/2019-09-12/

https://github.com/jenkinsci/git-client-plugin/commit/899123fa2eb9dd2c37137aae630c47c6be6b4b02

SEE MORE →

2影响范围

受影响版本

• Git client Plugin <= 2.8.4

不受影响版本

• Git client Plugin > 2.8.4

3漏洞检测

3.1 人工检测

用户可通过查看当前Git client插件版本，对当前服务是否受此漏洞影响进行排查。

点击“Manage Jenkins”进入管理模块，选择“Manage Plugins”管理插件。

点击“installed”即可对当前已安装的插件版本进行查看。

如果当前的插件版本在受影响范围内，则可能存在安全风险，请尽快采取防护措施。

4漏洞防护

4.1 官方升级

目前Jenkins官方已经针对该漏洞发布了新版本，请受影响的用户尽快升级Git client插件至2.8.4以上版本进行防护，操作步骤如下：

点击“Manage Jenkins”->“Manage Plugins”，进入插件管理界面

选择需要升级的插件，点击“Download now and install after restart”进行更新操作。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。