软件集成平台Jenkins爆出两个高危漏洞

漏洞细节

来自 DEVCORE 的安全研究员 Orange Tsai 发现,Jenkins 使用的 Stapler Web 框架存在任意文件读取漏洞,可以通过构造恶意的 HTTP 请求发往 Jenkins Web 服务端,从请求响应中直接获取攻击者指定读取的文件内容。

从官方提交的安全测试补丁中,可以看出,此漏洞是在 HTTP 请求头 Accept-Language 中进行恶意数据构造,并主要针对 Windows 系统(在 Linux 系统上利用则需要满足特定条件),文件夹命名格式为 XXX-XXX 测试版本为 Jenkins LTS 2.107.3。

风险等级

360安全监测与响应中心风险评级为:高危

预警等级:蓝色预警(一般网络安全预警)

影响范围

Jenkins weekly 2.132及更早的版本。

Jenkins LTS 2.121.1及更早的版本。

处置建议

Jenkins weekly 升级到 2.133 版本

Jenkins LTS 升级到 2.121.2 版本

参考资料

[1] https://jenkins.io/security/advisory/2018-07-18/

[2]https://github.com/jenkinsci/jenkins/commit/d71ac6ffe98ee62e0353af7a948a4ae1a69b67e9

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180725A1NMBS00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券