【漏洞公告】CVE-2018-1999002:Jenkins任意文件读取漏洞-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

【漏洞公告】CVE-2018-1999002:Jenkins任意文件读取漏洞

2018-07-26 06:46:18 85572 4
美国时间2018年7月18日,Jenkins发布的安全通告中修复了多个漏洞,其中的SECURITY-914是由Orange发现的Jenkins未授权任意文件读取漏洞。


攻击者利用该漏洞,可以读取Windows服务器中的任意文件;而对于Linux系统服务器,攻击者在特定条件下也可以实现文件的读取。通过利用该文件读取漏洞,攻击者可以获取Jenkins系统的凭证信息,导致用户的敏感信息遭到泄露。同时,Jenkins的部分凭证可能与其用户的帐号密码相同,攻击者获取到凭证信息后甚至可以直接登录Jenkins系统进行命令执行操作等。
  

漏洞编号:
CVE-2018-1999002
漏洞名称:
Jenkins任意文件读取漏洞
漏洞描述:
在Jenkins的Stapler Web框架中存在任意文件读取漏洞。恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下获取Jenkin主进程可以访问的Jenkins文件系统中的任意文件内容。
影响范围:
  • Jenkins weekly 2.132及此前所有版本
  • Jenkins LTS 2.121.1及此前所有版本

漏洞检测:
开发人员检查是否使用了受影响版本范围内的版本。  
漏洞修复建议(或缓解措施):
  • 官方解决方案

将您的Jenkins weekly升级至2.133版本。
将您的Jenkins LTS升级至2.121.2版本。
  • 防护建议

如果您暂时不希望通过升级Jenkins版本解决该漏洞,建议您使用Web应用防火墙的精准访问控制功能对您的业务进行防护。


通过配置上述精准访问控制规则,WAF成功阻断试图利用该漏洞的精心构造的HTTP请求。


情报来源:
  • https://jenkins.io/security/advisory/2018-07-18/


取消 提交回答
全部回答(4)
  • 2017liu
    2019-01-28 15:57:59
    Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
    0 0
  • 一览无余
    2018-12-02 18:12:00
    Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
    哈哈!
    0 0
  • nhbgtr1
    2018-11-05 23:18:19
    Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
    顶顶顶
    0 0
  • 芊芷鹤ly12
    2018-10-18 15:38:18
    Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
    顶顶顶
    0 0
添加回答
相关问答

1

回答

Logview慢任务诊断中reduce产生的小文件以及大量临时表有什么处理方法?

2021-12-10 19:39:55 266浏览量 回答数 1

2

回答

java poi怎么读取word 文档每段自动生成的序号,读取word目录结构急:报错

2020-06-06 23:30:35 1435浏览量 回答数 2

1

回答

仅在ES2015中如何生成从0到n的数字范围?

2020-02-08 11:07:49 267浏览量 回答数 1

1

回答

读取CSV文件并将值存储到数组中

2020-01-16 14:57:02 521浏览量 回答数 1

0

回答

批量导出大文件都是怎么做的呢?

2019-10-16 15:37:28 207浏览量 回答数 0

1

回答

js怎么导入css文件

2018-05-10 19:59:37 1267浏览量 回答数 1

1

回答

oss 怎么批量 获取文件的下载地址

2018-05-15 17:00:18 4965浏览量 回答数 1

1

回答

java 怎么读取ini文件

2018-05-10 20:09:11 1903浏览量 回答数 1

2

回答

怎么用link引用css文件

2018-05-10 20:06:45 2182浏览量 回答数 2

1

回答

java中读取CSV文件时怎么处理数据当中的逗号?

2016-02-20 10:29:36 5371浏览量 回答数 1
+关注
正禾
云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
6
文章
139
问答
问答排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载