久久综合人妻AV四区|国产乱伦手机av片免费|作爱视频在线观看免费|黄色免费三级片高清|国产黄色在线播放|久久精品丝袜噜噜丝袜|国模激情128p|欧美黄片免费视频|草碰日产人人一级爱|日韩欧美亚洲综合在线观看

2018年7月25日，金山云安全應(yīng)急響應(yīng)中心監(jiān)控到Jenkins 官方發(fā)布了安全資訊，對(duì)兩個(gè)高危漏洞進(jìn)行通告，分別是配置文件路徑改動(dòng)導(dǎo)致管理員權(quán)限開(kāi)放漏洞（CVE-2018-1999001）以及任意文件讀取漏洞（CVE-2018-1999002），其中CVE-2018-1999001可以修改配置文件路徑并篡改權(quán)限，CVE-2018-1999002可以通過(guò)構(gòu)造惡意請(qǐng)求以讀取文件內(nèi)容。

漏洞名稱

CVE-2018-1999001：配置文件路徑改動(dòng)導(dǎo)致管理員權(quán)限開(kāi)放漏洞

CVE-2018-1999002：任意文件讀取漏洞

漏洞編號(hào)

CVE-2018-1999001

CVE-2018-1999002

漏洞危害等級(jí)

CVE-2018-1999001：高危

CVE-2018-1999002：高危

漏洞描述

l  CVE-2018-1999001：

n  攻擊者可以在遠(yuǎn)程且未經(jīng)授權(quán)的狀態(tài)下通過(guò)構(gòu)造惡意登錄憑證，從 Jenkins 主目錄下移除 config.xml 配置文件到其他目錄，從而導(dǎo)致 Jenkins 服務(wù)下次重啟時(shí)退回 legacy模式，對(duì)匿名用戶也會(huì)開(kāi)放管理員權(quán)限。

l  CVE-2018-1999002：

n  攻擊者在遠(yuǎn)程且未經(jīng)授權(quán)的情況下，可以通過(guò)構(gòu)造惡意的 HTTP 請(qǐng)求發(fā)往 Jenkins Web 服務(wù)端，從請(qǐng)求響應(yīng)中直接獲取攻擊者指定讀取的文件內(nèi)容。經(jīng)安全研究人員測(cè)試發(fā)現(xiàn)，該漏洞的利用需要開(kāi)啟匿名用戶訪問(wèn)權(quán)限。

影響版本

Jenkins weekly 2.132 以及更早的版本

Jenkins LTS 2.121.1 以及更早的版本

修復(fù)方案

1.     Jenkins weekly 升級(jí)到 2.133 版本

2.     Jenkins LTS 升級(jí)到 2.121.2 版本

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2018/07/25