Jenkins任意文件读取漏洞（CVE-2018-1999002） - Web 应用防火墙

2018年7月18日（美国时间），Jenkins官方发布最新安全通告，披露多个安全漏洞。其中，SECURITY-914是由Orange发现的Jenkins未授权任意文件读取漏洞，存在高危风险。

利用该漏洞，攻击者可以读取Windows系统服务器中的任意文件，且在特定而条件下也可以读取Linux系统服务器中的文件。通过利用该文件读取漏洞，攻击者可以获取Jenkins系统的凭证信息，导致用户的敏感信息遭到泄露。同时，Jenkins的部分凭证可能与其用户的账号密码相同，攻击者获取到凭证信息后甚至可以直接登录Jenkins系统进行命令执行操作等。

漏洞编号

CVE-2018-1999002

漏洞名称

Jenkins任意文件读取漏洞

漏洞描述

在Jenkins的Stapler Web框架中存在任意文件读取漏洞。恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下获取Jenkin主进程可以访问的Jenkins文件系统中的任意文件内容。

关于该漏洞更多信息，请参见官方漏洞公告。

影响范围

Jenkins weekly 2.132及此前所有版本
Jenkins LTS 2.121.1及此前所有版本

官方解决方案

将您的Jenkins weekly升级至2.133版本。
将您的Jenkins LTS升级至2.121.2版本。

防护建议

如果您暂时不希望通过升级Jenkins版本解决该漏洞，建议您使用Web应用防火墙的自定义ACL访问控制规则对您的业务进行防护。

通过自定义ACL访问控制规则，针对Accept-Language这个HTTP请求头设置阻断规则过滤该请求头中包含../的请求，防止攻击者利用该漏洞通过目录穿越读取任意文件。 acl-jenkins

关于自定义ACL访问控制规则的相关操作，请参见设置自定义防护策略。

实际防护效果

通过配置上述自定义ACL访问控制规则，WAF成功阻断试图利用该漏洞的精心构造的HTTP请求。 waf-block