【漏洞公告】CVE-2018-1999002:Jenkins任意文件读取漏洞
美国时间2018年7月18日,Jenkins发布的安全通告中修复了多个漏洞,其中的SECURITY-914是由Orange发现的Jenkins未授权任意文件读取漏洞。
攻击者利用该漏洞,可以读取Windows服务器中的任意文件;而对于Linux系统服务器,攻击者在特定条件下也可以实现文件的读取。通过利用该文件读取漏洞,攻击者可以获取Jenkins系统的凭证信息,导致用户的敏感信息遭到泄露。同时,Jenkins的部分凭证可能与其用户的帐号密码相同,攻击者获取到凭证信息后甚至可以直接登录Jenkins系统进行命令执行操作等。
漏洞编号:
CVE-2018-1999002
漏洞名称:
Jenkins任意文件读取漏洞
漏洞描述:
在Jenkins的Stapler Web框架中存在任意文件读取漏洞。恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下获取Jenkin主进程可以访问的Jenkins文件系统中的任意文件内容。
影响范围:
- Jenkins weekly 2.132及此前所有版本
- Jenkins LTS 2.121.1及此前所有版本
漏洞检测:
开发人员检查是否使用了受影响版本范围内的版本。
漏洞修复建议(或缓解措施):
- 官方解决方案
将您的Jenkins weekly升级至2.133版本。
将您的Jenkins LTS升级至2.121.2版本。
- 防护建议
如果您暂时不希望通过升级Jenkins版本解决该漏洞,建议您使用Web应用防火墙的精准访问控制功能对您的业务进行防护。
通过配置上述精准访问控制规则,WAF成功阻断试图利用该漏洞的精心构造的HTTP请求。
情报来源:
- https://jenkins.io/security/advisory/2018-07-18/
展开
收起
4
条回答
写回答
写回答
问答标签:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
