欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 661|回复: 0

[安全通知] 关于Jenkins官方发布多个漏洞通知

[复制链接]

217

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33580
威望
13853
发表于 2018-5-10 11:34:23 |显示全部楼层
尊敬的腾讯云客户:
  您好,近日,腾讯云安全中心监测到Jenkins官方在5月9日披露了包含core以及多个插件的安全漏洞(官方公告编号:Jenkins Security Advisory 2018-05-09),攻击者可利用该漏洞导致目录遍历、敏感信息泄露、CSRF、XSS等风险。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   全球知名持续集成工具Jenkins官方发布了一则安全公告,披露了Jenkins (core)以及4个插件的8个漏洞(高危2个,中危3个),其中影响core的高危漏洞1个(SECURITY-788),系白名单检查绕过导致的目录遍历漏洞,被攻击者利用可向非授权目录读写文件,该漏洞主要影响2.107.2及之前所有版本。
   漏洞列表如下:
  • SECURITY-771: medium(Jenkins core)
  • SECURITY-786: low(Jenkins core)
  • SECURITY-788: high(Jenkins core)
  • SECURITY-794: low(Jenkins core)
  • SECURITY-263: low(Gitlab Hook Plugin 插件,官方暂未发布更新)
  • SECURITY-670: medium(Black Duck Hub Plugin 插件)
  • SECURITY-671: high(Black Duck Hub Plugin 插件)
  • SECURITY-821: medium(Groovy Postbuild Plugin 插件)

【风险等级】
   高风险

【漏洞风险】
   目录遍历、敏感信息泄露、CSRF、XSS等风险;

【影响版本】
   目前已知受影响core及插件版本如下:
  • Jenkins weekly 2.120 及之前版本
  • Jenkins LTS 2.107.2 及之前版本
  • Black Duck Hub Plugin 3.1.0 及之前版本
  • Gitlab Hook Plugin 及之前版本
  • Groovy Postbuild Plugin  2.3.1 及之前版本

【安全版本】
  • Jenkins weekly 2.121 版本
  • Jenkins LTS 2.107.3 版本
  • Black Duck Hub Plugin 4.0.0 版本
  • Groovy Postbuild Plugin 2.4 版本

【修复建议】
目前针对Jenkins core 漏洞官方已经发布新版本进行了统一修复,建议您对照检查自身是否有采用上述版本插件,如在受影响范围,  建议参照【安全版本】及时进行加固或升级操作
  新版本下载地址:https://jenkins.io/download/

【漏洞参考】
  1)官方通告:https://jenkins.io/security/advisory/2018-05-09/
  2)社区公告:http://www.openwall.com/lists/oss-security/2018/05/09/3


2017/5/10
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-9-21 01:32 , Processed in 1.169655 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部