阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3196阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-1000353:Jenkins Java反序列化远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
近日,Jenkins 官方发布安全公告,公告介绍Jenkins版本中存在Java反序列化高危漏洞,可以导致远程代码执行。 xm}`6B^f  
具体详情如下:                                  %dA7`7j  
                  
漏洞编号: Q OP8{~O  
CVE-2017-1000353 {t&+abY  
漏洞名称: t&Z:G<;  
Jenkins Java反序列化远程代码执行漏洞 ?3Dsz  
官方评级: Ue]GHJ2  
高危 ]; G$~[  
漏洞描述: ppo\cy;  
该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,Jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。 CF+:9PG  
漏洞利用条件和方式: [:\8Ug8  
直接远程利用 _gi?GQj  
漏洞影响范围: ~`x<;Ts  
Jenkins 2.32.1 5T;,wQ<  
漏洞检测: IOi6' 1l  
检查是否在受影响版本内 _Vxk4KjP5  
漏洞修复建议(或缓解措施): >VWH bo  
1.目前已经公开了POC,建议用户尽快升级到最新版: .]W A/}  
  • Jenkins 主版本用户升级到2.58
  • Jenkins LTS 版本用户升级到2.46.2
2.对Jenkins后台进行安全加固,配置密码,使用安全组配置严格的网络访问控制策略,禁止对所有人开放和访问 bAqaf#}e  
情报来源: gAgP("  
  • https://jenkins.io/security/advisory/2017-04-26/
  • https://www.seebug.org/vuldb/ssvid-93062
obhq2sK  
r)SwV!b  
,l_n:H+"F  
zSFqy'b.M-  
/IN/SZx  
SRx `m,535  
y~\K~qjd  
U 4@W{P02  
,:QDl  
*qm@;!C  
<e&*Tx<8  
?5L.]Isa5  
"m:4e`_dz  
m*S[oy&  
9 6'{ES9D  
Dj9).lgc  
U:.  
$xf{m9 8  
/)` kYD6  
Q+\?gU]  
0UB,EI8   
f}c z_"o4  
&m6x*i-5\f  
/WJ*ro]Hd$  
?][2J  
$3Ct@}=n  
V nv9 <=R  
iPxhDn<B  
[ 此帖被正禾在2017-05-04 19:44重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)