阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2592阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-2608:Jenkins远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
北京时间2月1日,Jenkins官方发布了新一轮的安全漏洞公告,该公告包括18个不同等级的安全漏洞,其中1个高危漏洞可以导致使用Jenkins用户遭受远程代码执行攻击,存在严重的安全分风险,目前官方已经发布最新版本。 %ryYa  
    
m3i+b  
i917d@r(<  
漏洞编号: of k@.TmO  
CVE-2017-2608 .~t.B!rVSB  
,4tuWO)"  
^TF71u o  
漏洞名称: p`-Oz]  
Jenkins远程代码执行漏洞 . +  
7dbGUbT  
B LI 9(@  
官方评级: c Y(2}Ay  
高危 osdl dS  
lqoJ2JMy  
Hlj_oDL  
漏洞描述: qPG>0 O  
此漏洞存在于XStream API,(例如XStream/ createitem URL,或config.xml远程API),攻击者可以通过该漏洞成功发起远程代码执行攻击,严重情况下可以获取服务权限。 K~ob]I<GiB  
}5qpiS"V9  
VW/ICX~"d  
漏洞影响范围: |`,AA a  
  • 所有已发布的Jenkins版本,包括 2.43
  • 所有已发布的Jenkins LTS版本,包括2.32.1
s7> a  
ev"f@y9Do  
.L#U^H|  
漏洞修复建议(或缓解措施): 6A23H7  
O~ ]3.b  
*H({q`j33k  
  • 配置安全组策略控制Jenkins访问范围,建议仅内网或本地管理员可访问,禁止对互联网发布;
  • 升级Jenkins到最新版本 :Jenkins主版本用户升级到最新2.44版,Jenkins LTS 版本用户升级到最新2.32.2版 。
v%$c_'d  
1HS43!  
情报来源: sm?V%NX&  
  • https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2017-02-01
(@&+?A"6`  
&=S<StH  
J=sj+:GS  
^Ez`WP  
L }L"BY3$  
sf5F$  
=Y`e?\#`  
eOUv#F  
UsQh+W"?  
o<8SiVC2  
[ 此帖被正禾在2017-02-11 07:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)