全部产品

【漏洞公告】Jenkins 未授权访问漏洞

更新时间:2018-03-08 15:32:07

漏洞描述

Jenkins 是一款流行的软件项目管理平台,默认配置下所有人都可以访问平台上所有页面。攻击者可以利用平台中的scripts页面执行系统命令,获取服务器权限,进而入侵服务器,引发数据泄露等安全事件。

漏洞等级

高危

漏洞利用方式

黑客可以直接在互联网远程利用获取服务器权限。

漏洞修复方案

  • 在Jenkins管理页面添加访问密码。建议您使用由十位以上数字,字母和特殊符号组成的强密码。

  • 建议您不要将管理后台开放到互联网上。您可以使用ECS安全组策略设置访问控制,默认策略为拒绝所有通信。您可以根据业务发布情况仅开放需要对外用户提供的服务,并控制好访问源IP。

注意:为避免数据丢失,升级前请做好备份,或ECS建立硬盘快照。