翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
传送门
【漏洞分析】Jenkins 未授权代码执行漏洞分析(更新漏洞环境、检测脚本)
前言
Jenkins开发人员最近修复了多个漏洞,包括一个能被远程攻击者执行任意代码的严重漏洞。
Jenkins修复远程代码执行漏洞
Jenkins是一款最流行的开源自动化服务器,全球的下载量超过13.3万次,用户超过100万。这款产品由CloudBees和Jenkins社区维护,旨在帮助开发人员构建、测试并部署软件。
一名独立安全研究员最近通过Beyond Security的SecuriTeam安全披露计划指出,Jenkins遭受一个跟Java反序列化相关的严重漏洞影响。专家指出,这个缺陷能让未经验证的攻击者通过将两个特别编制的请求发送给易受攻击的服务器执行任意代码。该漏洞编号为CVE-2017-1000353,于本月初发布。
Jenkins开发人员在4月末发布的一份安全公告中指出,这个严重漏洞“能让攻击者将一个序列化Java SignedObject对象转移到远程Jenkins CLI。CLI会通过一个新的ObjectInputStream进行反序列化,绕过现存的黑名单防护机制”。
Jenkins 2.57和2.46.2 (LTS) 版本的发布修复了这个漏洞,同时解决了多个其它类型的缺陷,包括多个高危CSRF漏洞等。开发人员表示这些漏洞能被用于重启服务器、降级Jenkins、安装插件、更改用户的API口令、更改配置并创建管理员账户。另外的一个安全弱点CVE-2017-1000354能让攻击者伪装成Jenkins用户,它跟 “login” 命令相关,会将成功验证用户的加密用户名存储在一个缓存文件中。
这次更新还解决了跟XStream库相关的一个中危问题。XStream库是第三方组件,Jenkins用于序列化和反序列化XML,它受到一个可导致Java进程崩溃的漏洞影响。
传送门
评论