Jenkins 两个高危漏洞

事件来源

Jenkins 官方在 7 月 18 号发布了安全资讯，对两个高危漏洞进行通告：

https://jenkins.io/security/advisory/2018-07-18/

漏洞描述

来自 DEVCORE 的安全研究员 Orange Tsai 发现，Jenkins 使用的 Stapler Web 框架存在任意文件读取漏洞。攻击者在远程且未经授权的情况下，可以通过构造恶意的 HTTP 请求发往 Jenkins Web 服务端，从请求响应中直接获取攻击者指定读取的文件内容。

从官方提交的安全测试补丁中，可以看出，此漏洞是在 HTTP 请求头 Accept-Language 中进行恶意数据构造，并主要针对 Windows 系统（在 Linux 系统上利用则需要满足特定条件）：

影响范围

Jenkins weekly 2.132 以及更早的版本

Jenkins LTS 2.121.1 以及更早的版本

解决方案

Jenkins weekly 升级到 2.133 版本

Jenkins LTS 升级到 2.121.2 版本

参考资料

https://jenkins.io/security/advisory/2018-07-18/

https://github.com/jenkinsci/jenkins/commit/d71ac6ffe98ee62e0353af7a948a4ae1a69b67e9