Jenkins 代码执行漏洞
安全预警通告
2018 年 12 月 07日
目录
第1章 安全通告 ......................................... 1
第2章 文档信息 ......................................... 2
第3章 漏洞信息 ......................................... 3
3.1 漏洞描述...............................................................................................������............................................ 3
3.2 风险等级.................................................�������.........................................................................................������. 4
第4章 影响范围 ......................................... 5
第5章 处置建议 ......................................... 6
第6章 参考资料 ......................................... 7
第1章 安全通告
2018 年 12 月 5 日,Jenkins 官方在 12 月 5 日发布了安全资讯,称其当前的 Jenkins 版本存在一个可通过构造 URL 进行代码执行的漏洞。
第2章 文档信息
|
文档名称
|
Jenkins 非预期方法调用漏洞安全预警通告
|
|
关键字
|
Jenkins、SECURITY-595
|
|
发布日期
|
2018 年 12 月 06 日
|
第3章 漏洞信息
3.1 漏洞描述
Jenkins 使用 Stapler 框架来处理 HTTP 请求,Stapler 框架的基本前提是它
使用反射的方式来处理符合其命名规范的代码。例如,任何名称以 get 开头且具有 String、int、long 数据类型的参数或没有参数的公共方法都可以通过这些方式被调用。这些命名规范与 Java 中的常见代码命名方式非常类似,因此攻击者通过精心设计的 URL 可以实现一定程度上的代码执行攻击。
在 Jenkins 官方发布此通告时,发现利用此漏洞可能会对 Jenkins 造成以下攻击:
1. 使用内置的 Winstone-Jetty 服务器运行 Jenkins 时,未经身份验证的
用户可以使所有会话无效。
2. 拥有 Overall/Read 权限的用户可以在内存中创建新的用户对象。
3. 拥有 Overall/Read 权限的用户可以手动启动通常只会定期运行的 Async
PeriodicWork 实现。
同时官方声明,有可能存在他们目前尚不了解的漏洞利用方式。
目前官方已通过服务提供接口(SPI)限制了 Stapler 可以反射调用 getter 方法、do * action 方法和那些可以被 Stapler 反射的字段。更多详细信息可在
开发者文档中找到:
//jenkins.io/doc/developer/handling-requests/stapler-�������accessible-type/ //jenkins.io/doc/developer/handling-requests/actions/ //jenkins.io/doc/developer/security/read-access/
3.2 风险等级
风险评级为:高危
预警等级:蓝色预警(一般事件)
第4章 影响范围
Jenkins weekly 2.153 及之前版本
Jenkins LTS 2.138.3 及之前版本
第5章 处置建议
更新 Jenkins weekly 到 2.154 版本
更新 Jenkins LTS 到 2.138.4 版本或 2.150.1 版本
除非另有说明,否则所有先前版本均被视为受这些漏洞影响。
需要注意的是,此次修复可能会影响某些插件的功能。最有可能的影响是某些 URL 请求后会返回 404 Not Found 。在极少数情况下,返回的可能不是 404 Not Found 但仍然与修复前不同。在 Jenkins wiki 中可跟踪已知受影响的插件及其状态。
第6章 参考资料
[1]
