专栏首页绿盟科技安全情报【漏洞预警】Jenkins Git client插件远程命令执行漏洞(CVE-2019-10392)预警通告

【漏洞预警】Jenkins Git client插件远程命令执行漏洞(CVE-2019-10392)预警通告

预警编号:NS-2019-0041

2019-09-23

TAG:

Jenkins、Git client、远程命令执行、CVE-2019-10392

漏洞危害:

高,攻击者利用此漏洞,可造成远程命令执行。

版本:

1.0

1

漏洞概述

近日,Jenkins官方发布了Git client插件远程命令执行漏洞的安全公告,漏洞编号为:CVE-2019-10392,官方定级为高危。该漏洞存在于Git客户端插件中,若攻击者获取到具有Job/Configure权限的账号,可在Jenkins服务器上执行任意系统命令。

Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件,是开发过程中常用的产品,来自绿盟科技威胁情报的数据,将近有4万Jenkins服务开放在公网。为保证Jenkins服务器的安全,建议相关用户将受影响的Jenkins插件升级至修复版本。

参考链接:

https://jenkins.io/security/advisory/2019-09-12/

https://github.com/jenkinsci/git-client-plugin/commit/899123fa2eb9dd2c37137aae630c47c6be6b4b02

SEE MORE →

2影响范围

受影响版本

  • Git client Plugin <= 2.8.4

不受影响版本

  • Git client Plugin > 2.8.4

3漏洞检测

3.1 人工检测

用户可通过查看当前Git client插件版本,对当前服务是否受此漏洞影响进行排查。

点击“Manage Jenkins”进入管理模块,选择“Manage Plugins”管理插件。

点击“installed”即可对当前已安装的插件版本进行查看。

如果当前的插件版本在受影响范围内,则可能存在安全风险,请尽快采取防护措施。

4漏洞防护

4.1 官方升级

目前Jenkins官方已经针对该漏洞发布了新版本,请受影响的用户尽快升级Git client插件至2.8.4以上版本进行防护,操作步骤如下:

点击“Manage Jenkins”->“Manage Plugins”,进入插件管理界面

选择需要升级的插件,点击“Download now and install after restart”进行更新操作。

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:绿盟安全服务部

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【漏洞预警】Windows任意文件读取0day漏洞处置手册

    近日,国外安全研究员 SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个...

    绿盟科技安全情报
  • 【漏洞预警】Exim远程代码执行漏洞(CVE-2019-15846)预警通告

    近日,Linux的邮件传输代理Exim被曝出存在远程代码执行漏洞(CVE-2019-15846)。当Exim服务器接受TLS连接时,攻击者发送一个以“\0”结尾...

    绿盟科技安全情报
  • 【漏洞通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)通告

    2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏...

    绿盟科技安全情报
  • RabbitMQ入门介绍

    RabbitMQ 是一个消息代理。这主要的原理十分简单,就是通过接受和转发消息。你可以把它想象成邮局:当你将一个包裹送到邮局,你会相信邮递员先生最终会将邮件送到...

    Java团长
  • 学Java开发,绝对的福利

    学Java开发,看这张图就够了 ? Java学习 深秋的祝福 很多人想转行学习Java但却不知道怎么学,今天你看到这张图,相信你就知道从哪里开始学习Java了...

    奋斗蒙
  • 迭代器与生成器

    这一部分待加强!                 (一)迭代器 一:简介     迭代是Python最强大的功能之一,是访问集合元素的一种方式。    ...

    py3study
  • 计算机系统可靠性的计算

    计算机系统的可靠性是制从它开始运行(t=0)到某时刻t这段时间内能正常运行的概率,用R(t)表示。 失效率是指单位时间内失效的元件数与元件总数的比例,以λ表示。...

    用户1215536
  • Xcelsius(水晶易表)系列7——多选择器交互用法

    今天继续跟大家讲解水晶易表动态仪表盘的高级用法——多选择器交互用法。 关于选择器的用法,之前的几篇零零碎碎的讲了些,今天是专门讲解水晶易表中几种重要的选择器用法...

    数据小磨坊
  • 3、Jenkins升级和迁移

    Jenkins的开发迭代非常快,每周发布一个开发版本,长期支持版每半年更新一次(ps:大版本更新)。如此频繁的更新,怎么升级呢?

    py3study
  • 快速学习-Python迭代器和生成器

    迭代是Python最强大的功能之一,是访问集合元素的一种方式。迭代器是一个可以记住遍历的位置的对象。迭代器对象从集合的第一个元素开始访问,直到所有的元素被访问完...

    cwl_java

扫码关注云+社区

领取腾讯云代金券