2018年7月18日(美国时间),Jenkins官方发布最新安全通告,披露多个安全漏洞。其中,SECURITY-914是由Orange发现的Jenkins未授权任意文件读取漏洞,存在高危风险。
利用该漏洞,攻击者可以读取Windows系统服务器中的任意文件,且在特定而条件下也可以读取Linux系统服务器中的文件。通过利用该文件读取漏洞,攻击者可以获取Jenkins系统的凭证信息,导致用户的敏感信息遭到泄露。同时,Jenkins的部分凭证可能与其用户的帐号密码相同,攻击者获取到凭证信息后甚至可以直接登录Jenkins系统进行命令执行操作等。
漏洞编号
CVE-2018-1999002
漏洞名称
Jenkins任意文件读取漏洞
漏洞描述
在Jenkins的Stapler Web框架中存在任意文件读取漏洞。恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下获取Jenkin主进程可以访问的Jenkins文件系统中的任意文件内容。
关于该漏洞更多信息,请查看官方漏洞公告。
影响范围
- Jenkins weekly 2.132及此前所有版本
- Jenkins LTS 2.121.1及此前所有版本
官方解决方案
- 将您的Jenkins weekly升级至2.133版本。
- 将您的Jenkins LTS升级至2.121.2版本。
防护建议
如果您暂时不希望通过升级Jenkins版本解决该漏洞,建议您使用Web应用防火墙的精准访问控制功能对您的业务进行防护。
通过精准访问控制功能,针对Accept-Language这个HTTP请求头设置阻断规则过滤该请求头中包含
../
的请求,防止攻击者利用该漏洞通过目录穿越读取任意文件。

实际防护效果
更多信息
安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击,详情请关注安全管家服务。
在文档使用中是否遇到以下问题
更多建议
匿名提交