2018年7月18日(美國時間),Jenkins官方發布最新安全通告,披露多個安全性漏洞。其中,SECURITY-914是由Orange發現的Jenkins未授權任意檔案讀取漏洞,存在高危風險。

利用該漏洞,攻擊者可以讀取Windows系統伺服器中的任意檔案,且在特定而條件下也可以讀取Linux系統伺服器中的檔案。通過利用該檔案讀取漏洞,攻擊者可以擷取Jenkins系統的憑證資訊,導致使用者的敏感資訊遭到泄露。同時,Jenkins的部分憑證可能與其使用者的帳號密碼相同,攻擊者擷取到憑證資訊後甚至可以直接登入Jenkins系統進行命令執行操作等。

漏洞編號

CVE-2018-1999002

漏洞名稱

Jenkins任意檔案讀取漏洞

漏洞描述

在Jenkins的Stapler Web架構中存在任意檔案讀取漏洞。惡意攻擊者可以通過發送精心構造的HTTP請求在未經授權的情況下擷取Jenkin主進程可以訪問的Jenkins檔案系統中的任意檔案內容。

關於該漏洞更多資訊,請查看官方漏洞公告

影響範圍

  • Jenkins weekly 2.132及此前所有版本
  • Jenkins LTS 2.121.1及此前所有版本

官方解決方案

  • 將您的Jenkins weekly升級至2.133版本。
  • 將您的Jenkins LTS升級至2.121.2版本。

防護建議

如果您暫時不希望通過升級Jenkins版本解決該漏洞,建議您使用Web Application Firewall的精準存取控制功能對您的業務進行防護。

通過精準存取控制功能,針對Accept-Language這個HTTP要求標頭設定阻斷規則過濾該要求標頭中包含 ../的請求,防止攻擊者利用該漏洞通過目錄穿越讀取任意檔案。

實際防護效果

通過配置上述精準存取控制規則,WAF成功阻斷試圖利用該漏洞的精心構造的HTTP請求。

说明 關於精準存取控制規則的功能介紹,請查看精準存取控制