關(guān)于Jenkins兩個漏洞的公告
2018-07-25 21:28:13
2018年7月25日,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到Jenkins 官方發(fā)布了安全資訊�,對兩個高危漏洞進行通告�����,分別是配置文件路徑改動導(dǎo)致管理員權(quán)限開放漏洞(CVE-2018-1999001)以及任意文件讀取漏洞(CVE-2018-1999002),其中CVE-2018-1999001可以修改配置文件路徑并篡改權(quán)限���,CVE-2018-1999002可以通過構(gòu)造惡意請求以讀取文件內(nèi)容��。
漏洞名稱
CVE-2018-1999001:配置文件路徑改動導(dǎo)致管理員權(quán)限開放漏洞
CVE-2018-1999002:任意文件讀取漏洞
漏洞編號
CVE-2018-1999001
CVE-2018-1999002
漏洞危害等級
CVE-2018-1999001:高危
CVE-2018-1999002:高危
漏洞描述
l CVE-2018-1999001:
n 攻擊者可以在遠(yuǎn)程且未經(jīng)授權(quán)的狀態(tài)下通過構(gòu)造惡意登錄憑證��,從 Jenkins 主目錄下移除 config.xml 配置文件到其他目錄����,從而導(dǎo)致 Jenkins 服務(wù)下次重啟時退回 legacy模式,對匿名用戶也會開放管理員權(quán)限�����。
l CVE-2018-1999002:
n 攻擊者在遠(yuǎn)程且未經(jīng)授權(quán)的情況下��,可以通過構(gòu)造惡意的 HTTP 請求發(fā)往 Jenkins Web 服務(wù)端,從請求響應(yīng)中直接獲取攻擊者指定讀取的文件內(nèi)容����。經(jīng)安全研究人員測試發(fā)現(xiàn)�����,該漏洞的利用需要開啟匿名用戶訪問權(quán)限�。
影響版本
Jenkins weekly 2.132 以及更早的版本
Jenkins LTS 2.121.1 以及更早的版本
修復(fù)方案
1. Jenkins weekly 升級到 2.133 版本
2. Jenkins LTS 升級到 2.121.2 版本
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/07/25