Jenkins 任意文件读取的漏洞预警
【摘要】 Jenkins 任意文件读取的漏洞预警
一、 概要
近期Jenkins官方发布了最新的安全公告,披露了一个远程任意文件读取漏洞(漏洞编号:CVE-2018-1999002),该漏洞可能导致服务器敏感文件被攻击者获取,从而对服务器造成进一步危害。
CVE-2018-1999002:Jenkins使用的Stapler Web框架中的任意文件读取漏洞允许未经身份验证的用户发送恶意的HTTP请求,可以获取Jenkins具备权限的任何文件内容。
参考链接:
https://jenkins.io/security/advisory/2018-07-18/
二、漏洞级别
漏洞级别:【重要】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响如下版本:
Jenkins weekly 2.132及之前版本
Jenkins LTS 2.121.1及之前版本
四、安全建议
目前厂商已发布最新版本修复了上述问题,建议受影响的租户随时关注厂商的下载页面以获取对应的最新版本,官方对应Jenkins weekly 2.134和Jenkins LTS 2.121.2,下载链接如下:
注意:修复漏洞前请将资料备份,并进行充分测试。
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)