Jenkins 路由解析及沙箱绕过漏洞分析报告(上)
本报告主要研究Jenkins的路由解析机制和Groovy沙箱绕过带来的安全问题,梳理Jenkins官方2018-2019年以来涉及沙箱绕过的安全更新,探讨Java沙箱在Java应用中的安全性。由于篇幅较长,分为上下两篇发表,文中疏漏之处还请批评指正。
Jenkins漏洞处置建议CVE-2018-1999001,CVE-2018-1999002
北京时间7月18日,Jenkins官方发布安全通告,修复了7个漏洞,其中包括一个严重漏洞(CVE-2018-1999001,Jenkins 配置文件路径改动导致管理员权限开放漏洞)和一个高危漏洞(CVE-2018-1999002,任意文件读取漏洞)。为保证Jenkins服务器的安全及其存储代码和构建过程数据的安全,强烈建议相关企业将Jenkins升级至最新版本。