阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2593阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-2608:Jenkins远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
北京时间2月1日,Jenkins官方发布了新一轮的安全漏洞公告,该公告包括18个不同等级的安全漏洞,其中1个高危漏洞可以导致使用Jenkins用户遭受远程代码执行攻击,存在严重的安全分风险,目前官方已经发布最新版本。 !' @  
    
'Xzi$}E D  
nnO@$T  
漏洞编号: QJ-?6 7_i  
CVE-2017-2608 qxW 2q8QHo  
6MR S0{  
*C?x\.\C  
漏洞名称: Pi|oO-M  
Jenkins远程代码执行漏洞 oE4hGt5x{  
pNzGpCk  
6ypqnOTr  
官方评级: %4E7 Tu,1  
高危 0#KB.2AP  
S$I:rbc  
[f'DxZF-  
漏洞描述: L:F:ZOM6`  
此漏洞存在于XStream API,(例如XStream/ createitem URL,或config.xml远程API),攻击者可以通过该漏洞成功发起远程代码执行攻击,严重情况下可以获取服务权限。 Qmh*Gh? v  
/`Lki>"  
dfq5P!'  
漏洞影响范围: uy;3s=03^  
  • 所有已发布的Jenkins版本,包括 2.43
  • 所有已发布的Jenkins LTS版本,包括2.32.1
v)2@;Q  
|KC3^  
fJC,ubP[5  
漏洞修复建议(或缓解措施): Fk,3th  
T;< >""T  
),6Z1 K1  
  • 配置安全组策略控制Jenkins访问范围,建议仅内网或本地管理员可访问,禁止对互联网发布;
  • 升级Jenkins到最新版本 :Jenkins主版本用户升级到最新2.44版,Jenkins LTS 版本用户升级到最新2.32.2版 。
p8^^Pva/  
=;$&:Zjy/%  
情报来源:  U\~[  
  • https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2017-02-01
o&~z8/?LA  
|T"{q  
3-8Vw$u  
4"j5@bppJ  
L4;n$=e  
{_/6,22j(V  
ix&hsNzD  
Aq|LeH  
]yVB66l  
}wkBa]  
[ 此帖被正禾在2017-02-11 07:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 14 + 6 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)