Jenkins 任意文件读取的漏洞预警

  • Jenkins 任意文件读取的漏洞预警已关闭评论
  • 37 views
  • A+
所属分类:编程开发 运维实战
【摘要】 Jenkins 任意文件读取的漏洞预警

一、 概要

近期Jenkins官方发布了最新的安全公告,披露了一个远程任意文件读取漏洞(漏洞编号:CVE-2018-1999002),该漏洞可能导致服务器敏感文件被攻击者获取,从而对服务器造成进一步危害。

CVE-2018-1999002:Jenkins使用的Stapler Web框架中的任意文件读取漏洞允许未经身份验证的用户发送恶意的HTTP请求,可以获取Jenkins具备权限的任何文件内容。

参考链接:

https://jenkins.io/security/advisory/2018-07-18/

二、漏洞级别

漏洞级别:【重要】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

漏洞影响如下版本:

Jenkins weekly 2.132及之前版本

Jenkins LTS  2.121.1及之前版本

四、安全建议

目前厂商已发布最新版本修复了上述问题,建议受影响的租户随时关注厂商的下载页面以获取对应的最新版本,官方对应Jenkins weekly 2.134和Jenkins LTS 2.121.2,下载链接如下:

https://jenkins.io/download/

注意:修复漏洞前请将资料备份,并进行充分测试。

  • 安卓客户端下载
  • 微信扫一扫
  • weinxin
  • 微信公众号
  • 微信公众号扫一扫
  • weinxin
avatar