【漏洞公告】Jenkins发布多个漏洞安全公告

漏洞管理与修复

概述

在2017年12月8日，Jenkins官方发布了两个低危安全漏洞的公告，编号分别为CVE-2017-1000391和CVE-2017-1000392。这两个漏洞涉及不安全的用户目录命名方式及自动完成建议中的XSS风险。尽管评级为低危，但根据业务安全需求，用户仍应考虑进行修复。

识别漏洞

• CVE-2017-1000391：此漏洞因Jenkins直接使用未经转义的用户名作为磁盘上的目录名称，可能导致恶意用户通过特殊字符操作其他用户数据或配置文件。
• CVE-2017-1000392：存在XSS（跨站脚本）漏洞于自动完成建议功能中，攻击者可利用未过滤的HTML元字符注入恶意脚本，影响系统安全。

扫描与检测

• 手动检查：开发团队需确认当前使用的Jenkins版本是否位于受影响范围内，即Jenkins weekly版本早于2.89，或LTS版本早于2.73.3。

修复操作

• 升级修复：
  • Jenkins weekly用户应将版本升级至2.89或更高版本。
  • Jenkins LTS用户则需要更新到2.73.3或之后的版本。
• 验证修复：升级后，确保检查系统运行日志，确认无相关安全警告，并且先前存在的漏洞利用条件已被消除。

注意事项

• 权限与配置：执行升级前，请确保拥有足够的系统权限，并备份重要数据以防不测。
• 兼容性考量：评估新版本与现有插件、配置的兼容性，避免升级导致的服务中断。

总结与建议

虽然上述漏洞被评为低危，但及时应用官方发布的安全更新是维护系统长期安全性的关键步骤。企业应建立定期检查安全公告并及时响应的安全机制，以最小化潜在威胁。对于无法立即升级的情况，建议加强监控并限制对Jenkins界面的非授权访问，直至完成修复。