近日,国家信息安全漏洞库(CNNVD)收到关于Jenkins CLI存在远程代码执行漏洞(CNNVD-201611-384)的情况报送。该漏洞源于Jenkins CLI存在Java反序列化问题,从而导致远程攻击者可在Jenkins上执行任意代码,进一步控制服务器。11月16日,Jenkins官方对上述漏洞已发布升级公告。由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
一、漏洞简介
CloudBees Jenkins是美国CloudBees公司的一款基于Java开发的开源的、可持续集成的自动化服务器,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS(Long-Term Support)是CloudBees Jenkins的一个长期支持版本。
CloudBees Jenkins 2.31及之前的版本和Jenkins LTS 2.19.2及之前的版本中存在远程代码执行漏洞(漏洞编号:CNNVD-201611-384,CVE-2016-9299)。攻击者可通过传输恶意的序列化Java对象利用该漏洞执行任意代码,绕过保护机制。
二、漏洞危害
远程攻击者可通过构造恶意的Java序列化对象发送给Jenkins CLI,经其解析执行后,可使Jenkins连接到攻击者控制的LDAP服务器上,该LDAP服务器进一步发送恶意指令,可在Jenkins上执行任意代码,导致服务器被完全控制。
据统计,目前,全球现有一万余个网站使用了Jenkins,存在漏洞的网站数量为12579个,其中排在前五的国家分别为美国,中国,爱尔兰,德国以及荷兰。
漏洞影响全球分布情况
我国受影响网站约有1577个,主要位于浙江(61%)、北京(19%)、上海(6%)等城市,以互联网企业、高校等行业网站为主。
三、修复措施
目前,Jenkins官方已发布针对该漏洞的修复版本,并且,该漏洞细节及利用方式已在互联网上公布,请受影响的用户尽快升级至最新版本以消除漏洞影响。
1. Jenkins main line用户应升级至2.32版本
2. Jenkins LTS用户应升级至2.19.3版本
Jenkins公告链接:https://jenkins.io/blog/2016/11/16/security-updates-addressing-zero-day/本报告由CNNVD技术支撑单位—北京长亭科技有限公司、北京白帽汇科技有限公司提供支持。 CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 2025年全球网络安全支出将激增15% | 行业观察
- 华为数据存储两大新品齐发:全面闪存化,全面向AI
- 数据中心太耗电,微软携手Constellation Energy探索核能供电新途径
- 戴尔一周内发生两起数据泄露事件,Atlassian工具成泄露源头
- 华为ICT学院年会2024举办,ICT学院3.0计划正式启航
- 华为启动全球金融伙伴“融海计划”,共创行业新价值
- 华为联合多家伙伴发布《现代化金融核心系统白皮书:实践篇》
- 华为发布数据智能解决方案5.0,加速金融大模型应用从“赋能”到“产能”
- 华为加速推动鲲鹏昇腾原生创新,未来三年赋能百万原生人才
- 第九届华为ICT大赛中国赛区报名通道开启,大赛真题集首发
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
