阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2598阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-2608:Jenkins远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
北京时间2月1日,Jenkins官方发布了新一轮的安全漏洞公告,该公告包括18个不同等级的安全漏洞,其中1个高危漏洞可以导致使用Jenkins用户遭受远程代码执行攻击,存在严重的安全分风险,目前官方已经发布最新版本。 C-tkYP  
    
r~YxtBZH+  
,JqCxb9  
漏洞编号: E@/* eJ  
CVE-2017-2608 =OamN7V=  
9$s~ `z)  
9,cMb)=0  
漏洞名称: CNl @8&R  
Jenkins远程代码执行漏洞 &HB!6T/  
pg.BOz\'q  
S~hoAl"xb/  
官方评级: -LU%z'  
高危 RMs+pN<5  
_V,bvHWlM  
[=]LR9c4  
漏洞描述: f-`C1|\w  
此漏洞存在于XStream API,(例如XStream/ createitem URL,或config.xml远程API),攻击者可以通过该漏洞成功发起远程代码执行攻击,严重情况下可以获取服务权限。 e]*@|e4b  
1b,MJ~g$  
Cg3 d  
漏洞影响范围: [w{x+6uX'  
  • 所有已发布的Jenkins版本,包括 2.43
  • 所有已发布的Jenkins LTS版本,包括2.32.1
fL~@v-l#~  
![&9\aH  
ZVz`g]  
漏洞修复建议(或缓解措施): _6.Y3+7I  
o&MOcy D  
uc Ph*M  
  • 配置安全组策略控制Jenkins访问范围,建议仅内网或本地管理员可访问,禁止对互联网发布;
  • 升级Jenkins到最新版本 :Jenkins主版本用户升级到最新2.44版,Jenkins LTS 版本用户升级到最新2.32.2版 。
MW|R)gt  
]([^(&2  
情报来源: 9`td_qh  
  • https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2017-02-01
q0{_w  
n;LjKE  
[LM9^*sG2V  
7O,!67+^~  
Hm'aD2k  
?N=`}}Ky-  
@?*; -]#)  
kD}vK+  
INY?@in  
(_=R<:  
[ 此帖被正禾在2017-02-11 07:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 80 + 0 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)