UCloud-201807-004:Jenkins任意文件读取和配置文件改动漏洞安全预警
- 发布时间 2018-07-25
- 更新时间 2018-07-26
- 漏洞等级 High
- CVE编号 CVE-2018-1999001、CVE-2018-1999002
漏洞详情
CVE-2018-1999001:配置文件路径改动漏洞。远程且未经授权的攻击者可以通过构造恶意登录凭证,从 Jenkins 主目录下移除 config.xml 配置文件到其他目录,从而导致 Jenkins 服务下次重启时退回 legacy 模式,对匿名用户也会开放管理员权限。CVE-2018-1999002:任意文件读取漏洞。Jenkins 使用的Stapler Web框架存在任意文件读取漏洞,未鉴权的用户可以通过发送精心构造的HTTP请求获取Jenkins可访问的主文件系统上的文件内容。
影响范围
Jenkins <= 2.132
Jenkins LTS <=2.121.1
修复方案
1) 升级到官网发布的修复版本:Jenkins 2.133
Jenkins LTS 2.121.2
2) 使用UCloud WEB应用防火墙UWAF进行安全防御;
