Jenkins漏洞处置建议CVE-2018-1999001,CVE-2018-1999002

北京时间7月18日,Jenkins官方发布安全通告,修复了7个漏洞,其中包括一个严重漏洞(CVE-2018-1999001,Jenkins 配置文件路径改动导致管理员权限开放漏洞)和一个高危漏洞(CVE-2018-1999002,任意文件读取漏洞)。为保证Jenkins服务器的安全及其存储代码和构建过程数据的安全,强烈建议相关企业将Jenkins升级至最新版本。

漏洞概述

Jenkins 是一款基于Java开发的开源的、用于持续集成和持续交付的自动化中间件,通过构建的pipeline持续、自动地构建/测试软件项目,并监控软件开发流程,快速问题定位及处理,使得开发者从繁杂的集成过程中解脱出来,专注于更为重要的业务功能实现。

北京时间7月18日,Jenkins官方发布安全通告,修复了7个漏洞,其中包括一个严重漏洞(CVE-2018-1999001,Jenkins 配置文件路径改动导致管理员权限开放漏洞)和一个高危漏洞(CVE-2018-1999002,任意文件读取漏洞)。为保证Jenkins服务器的安全及其存储代码和构建过程数据的安全,强烈建议相关企业将Jenkins升级至最新版本。

漏洞编号 漏洞描述 官方漏洞评级
CVE-2018-1999001 Jenkins 配置文件路径改动导致未经身份验证的用户可越权获取管理员权限 严重
CVE-2018-1999002 任意文件读取漏洞 高危
CVE-2018-1999003 未授权用户可越权取消排队的构建 中危
CVE-2018-1999004 未授权用户可越权启动和中止代理启动 中危
CVE-2018-1999005 存储型XSS漏洞 中危
CVE-2018-1999006 未授权用户可越权确定何时从其JPI包中提取插件 中危
CVE-2018-1999007 Stapler调试模式下的XSS漏洞 中危

 

结合绿盟威胁情报的数据,有近万个公网资产应用了Jenkins服务,请相关单位及时关注。

参考链接

 https://jenkins.io/security/advisory/2018-07-18/

影响范围

受影响的版本

  • Jenkins weekly 2.132 版本及以下
  • Jenkins LTS 2.121.1版本及以下

不受影响版本

  • Jenkins weekly 2.133版本
  • Jenkins LTS 2.121.2版本

解决方案

官方升级

官方在最新的版本中针对以上漏洞进行了修复,新版本下载链接如下:

Jenkins LTS 2.121.2 http://mirrors.jenkins.io/war-stable/latest/jenkins.war
Jenkins weekly 2.133 http://mirrors.jenkins.io/war/latest/jenkins.war

 

以CentOS系统下的Jenkins中间件升级为例,Jenkins默认安装的文件目录应该为:/usr/lib/jenkins,按照如下过程进行升级。

1、停止Jenkins服务,并对jenkins.war进行备份;

service jenkins stop

cd /usr/lib/jenkins

cp jenkins.war jenkins_bak.war

2、删除jenkins.war文件;

rm -f jenkins.war

3、下载最新版jenkins,并启动jenkins服务;

wget http://mirrors.jenkins.io/war-stable/latest/jenkins.war

service jenkins start

升级成功。

附录A 漏洞简述

攻击者可利用CVE-2018-1999001漏洞从Jenkins主目录下移除 config.xml 配置文件到其他目录,当Jenkins 服务再次重启时,因加载不了config.xml中配置的安全域和授权策略,退回 legacy 模式,并且赋予匿名用户管理员访问权限。当攻击者获取Jenkins权限后,可查看构建历史数据,甚至可下载工作区的代码,导致核心代码泄露;攻击者在进入管理页面后,可通过“系统管理”下的“脚本命令行”功能,执行用于管理或故障探测或诊断的任意脚本命令,对Jenkins系统服务器产生比较严重的影响和危害。

CVE-2018-1999002漏洞,可使得攻击者在Jenkins开启匿名用户访问权限的情况下,通过构造恶意的 HTTP 请求(在Accept-Language头部构造读取任意文件payload)发往 Jenkins Web 服务端,读取Jenkins用户权限下的任意文件。然而,默认安装的Jenkins配置中的匿名用户是没有可读权限,且对于安装在Linux环境下的Jenkins利用难度较大。

分析报告下载

Jenkins漏洞处置建议

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论