阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 66027阅读
  • 5回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1999002:Jenkins任意文件读取漏洞

级别: 论坛版主
发帖
241
云币
478
美国时间2018年7月18日,Jenkins发布的安全通告中修复了多个漏洞,其中的SECURITY-914是由Orange发现的Jenkins未授权任意文件读取漏洞。 |h6u%t2AY  
]aN]Ha  
q0y#Y  
攻击者利用该漏洞,可以读取Windows服务器中的任意文件;而对于Linux系统服务,攻击者在特定条件下也可以实现文件的读取。通过利用该文件读取漏洞,攻击者可以获取Jenkins系统的凭证信息,导致用户的敏感信息遭到泄露。同时,Jenkins的部分凭证可能与其用户的帐号密码相同,攻击者获取到凭证信息后甚至可以直接登录Jenkins系统进行命令执行操作等。 cq#=Vb  
  
1X,\:F.-+  
漏洞编号: |iLf;8_:  
CVE-2018-1999002 RAUD8Z  
漏洞名称: 8[\ ~}Q6  
Jenkins任意文件读取漏洞 'Xb?vOU  
漏洞描述: +{dJGPoY]p  
在Jenkins的Stapler Web框架中存在任意文件读取漏洞。恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下获取Jenkin主进程可以访问的Jenkins文件系统中的任意文件内容。 *MM8\p_PuT  
影响范围: ?Fp2W+M j  
  • Jenkins weekly 2.132及此前所有版本
  • Jenkins LTS 2.121.1及此前所有版本
=`W#R  
漏洞检测: vZJu =t  
开发人员检查是否使用了受影响版本范围内的版本。   cI/Puh^3  
漏洞修复建议(或缓解措施): r0L' mf$  
  • 官方解决方案
_p^&]eQ+k#  
将您的Jenkins weekly升级至2.133版本。 :|TQi9L$rj  
将您的Jenkins LTS升级至2.121.2版本。 746['sf4c  
  • 防护建议
oa q!<lI  
如果您暂时不希望通过升级Jenkins版本解决该漏洞,建议您使用Web应用防火墙的精准访问控制功能对您的业务进行防护。 E~K5n2CI  
$_orxu0W  
mVVL[z2+  
通过配置上述精准访问控制规则,WAF成功阻断试图利用该漏洞的精心构造的HTTP请求。 <<~swN  
 <R.Ipyt.  
B +<i=w  
情报来源: Dxp.b$0t  
  • https://jenkins.io/security/advisory/2018-07-18/
GX,)~Syw*  
}F=lG-x  
[ 此帖被正禾在2018-07-26 06:48重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +1
xchm 云币 +1 ECS云服务器2折起,1年¥293起  https://dwz.cn/qxEL96bj 02-27
级别: 禁止发言
发帖
15
云币
19
只看该作者 沙发  发表于: 2018-08-06
用户被禁言,该主题自动屏蔽!
级别: 小白
发帖
10
云币
19
只看该作者 板凳  发表于: 2018-10-18
Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
顶顶顶
级别: 新人
发帖
9
云币
9
只看该作者 地板  发表于: 2018-11-05
Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
顶顶顶
级别: 小白
发帖
11
云币
15
只看该作者 4楼 发表于: 2018-12-02
Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
哈哈!
级别: 新人
发帖
1
云币
1
只看该作者 5楼 发表于: 01-28
Re【漏洞公告】CVE-2018-1999002Jenkins任意文件读取漏洞
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)