全部产品
云市场

【漏洞公告】CVE-2017-1000353:Jenkins Java反序列化远程代码执行漏洞

更新时间:2018-03-08 15:10:13

近日,Jenkins 官方发布安全公告,介绍Jenkins版本中存在的Java反序列化高危漏洞。该漏洞可以导致远程代码执行。

漏洞详情见下文。


漏洞编号

CVE-2017-1000353

漏洞名称

Jenkins Java反序列化远程代码执行漏洞

官方评级

高危

漏洞描述

该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中。Jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。

漏洞利用条件和方式

直接远程利用

漏洞影响范围

Jenkins 2.32.1

漏洞检测

检查是否在受影响版本内。

漏洞修复建议(或缓解措施)

  • 目前已经公开了POC,建议用户尽快升级到最新版:

    • Jenkins 主版本用户升级到2.58
    • Jenkins LTS 版本用户升级到2.46.2
  • 对Jenkins后台进行安全加固,配置强密码,使用安全组配置严格的网络访问控制策略,禁止对所有人开放访问。

情报来源