联系我们
  • 公司地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

    联系电话:0752-2072178
    传真:0752-2072168-0 
    邮箱:gdoudi@ouditech.com


Jenkins 代码执行漏洞  安全预警通告
2018-12-17
来源:未知
点击数: 2478          作者:未知
  • Jenkins 代码执行漏洞

    安全预警通告



    2018 年 12 月 07


    目录 

    1章 安全通告 ......................................... 1 

    2章 文档信息 ......................................... 2 

    3章 漏洞信息 ......................................... 3 

    3.1 漏洞描述........................................................................................................................................... 3 

    3.2 风险等级........................................................................................................................................... 4 

    4章 影响范围 ......................................... 5 

    5章 处置建议 ......................................... 6

     6章 参考资料 ......................................... 7 


    1章 安全通告


    2018 12 5 日,Jenkins 官方在 12  5 日发布了安全资讯,称其当前的 Jenkins 版本存在一个可通过构造 URL 进行代码执行的漏洞。


    2章 文档信息

     

     

    文档名称 

    Jenkins 非预期方法调用漏洞安全预警通告 

    关键字 

    JenkinsSECURITY-595

    发布日期 

    2018 12 06  


    3章 漏洞信息


    3.1 漏洞描述 

    Jenkins 使用 Stapler 框架来处理 HTTP 请求,Stapler 框架的基本前提是它

    使用反射的方式来处理符合其命名规范的代码。例如,任何名称以 get 开头且具有 Stringintlong 数据类型的参数或没有参数的公共方法都可以通过这些方式被调用。这些命名规范与 Java 中的常见代码命名方式非常类似,因此攻击者通过精心设计的 URL 可以实现一定程度上的代码执行攻击。 

     

    Jenkins 官方发布此通告时,发现利用此漏洞可能会对 Jenkins 造成以下攻击: 

    1. 使用内置的 Winstone-Jetty 服务器运行 Jenkins 时,未经身份验证的

    用户可以使所有会话无效。 

    2. 拥有 Overall/Read 权限的用户可以在内存中创建新的用户对象。 

    3. 拥有 Overall/Read 权限的用户可以手动启动通常只会定期运行的 Async

    PeriodicWork 实现。 

     

    同时官方声明,有可能存在他们目前尚不了解的漏洞利用方式。 

    目前官方已通过服务提供接口(SPI)限制了 Stapler 可以反射调用 getter 方法、do * action 方法和那些可以被 Stapler 反射的字段。更多详细信息可在

    开发者文档中找到: 

    https://jenkins.io/doc/developer/handling-requests/stapler-accessible-type/ https://jenkins.io/doc/developer/handling-requests/actions/ https://jenkins.io/doc/developer/security/read-access/

     

     

    3.2 风险等级 

    风险评级为高危 

    预警等级:蓝色预警(一般事件) 


    4章 影响范围


    Jenkins weekly 2.153 及之前版本 

    Jenkins LTS 2.138.3 及之前版本 


    5章 处置建议


    更新 Jenkins weekly  2.154 版本 

    更新 Jenkins LTS  2.138.4 版本或 2.150.1 版本 

    除非另有说明,否则所有先前版本均被视为受这些漏洞影响。 

     

    需要注意的是,此次修复可能会影响某些插件的功能。最有可能的影响是某些 URL 请求后会返回 404 Not Found 。在极少数情况下,返回的可能不是 404 Not Found 但仍然与修复前不同。在 Jenkins wiki 中可跟踪已知受影响的插件及其状态。


    6章 参考资料


    [1] https://jenkins.io/security/advisory/2018-12-05/






热门评论
  • 暂无信息

验证码: 验证码,看不清楚?请点击刷新验证码

地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

电话:0752-2072178  传真:0752-2072168-0  邮箱:gdoudi@ouditech.com广东欧迪科技有限公司 版权所有

Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

粤ICP备16018732号-1

伊人狼人青草草久久