Jenkins是基于Java开发的一种持续集成工具,用于监控持续重复的工作,功能包括:1、持续的软件版本发布/测试项目;2、监控外部调用执行的工作。近日,百度安全指数平台发布了一篇针对Jenkins的高危远程代码执行漏洞的内容,今天小凯seo博客把这篇内容转载过来和朋友们分享一下。
漏洞描述
近日,Jenkins官方发布安全公告,公告介绍Jenkins某些版本中存在Java反序列化高危漏洞,可以导致远程代码执行。 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,Jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。
影响版本
Jenkins 2.56及之前的版本;
Jenkins LTS 2.46.1及之前的版本。
漏洞等级:高危
修复建议
1、Jenkins main line用户应升级至2.58版本,Jenkins LTS用户应升级至2.46.2版本。Jenkins公告链接:https://jenkins.io/security/advisory/2017-04-26/ ;
2、使用百度云加速WAF防火墙进行防御;
3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
了解更多
http://www.securityfocus.com/bid/98056/info