漏洞预警 | 开源软件工具Jenkins爆高危漏洞 创宇盾无需升级即可防御

来源:知道创宇云安全2019.06.20

近日,Jenkins发布安全公告,称插件Script Security、Pipeline: Groovy和Pipeline: Declarativ 存在沙箱绕过漏洞CVE编号分别为:CVE-2019-1003000、CVE-2019-1003001和CVE-2019-1003002。利用该漏洞,攻击者可不经身份认证实现远程代码执行。

 

漏洞的综合评级为“高危

Jenkins是一款由Java编写的开源的持续集成工具,提供了软件开发的持续集成服务。

攻击者利用漏洞,可在不经身份认证的情况下,绕过沙箱保护,在 Jenkins 主服务器上实现远程执行任意代码。

 

影响版本

  1. Pipeline: Declarative 插件 <= 1.3.4
  2. Pipeline: Groovy 插件 <= 2.61 
  3. Script Security 插件 <= 1.49

 

安全建议

1.更新插件至已修复版本:

  • Pipeline: Declarative 1.3.4.1
  • Pipeline: Groovy 2.61.1
  • Script Security 1.50 

​2.​ 沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换;沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换; 

3. 使用第三方防火墙进行防护(创宇盾)

4. 进行专业技术业务咨询。知道创宇技术业务咨询热线如下: 

  • 400-060-9587(政府,国有企业)
  • 028-68360638(互联网企业)
2019年6月Android补丁发布:共计修复22处安全漏洞

热门搜索词

创宇盾抗D保HSTSSNI

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态