一、概要
近日,基地政务云安全运维团队关注到Jenkins官方发布安全公告,披露Jenkins特定版本中存在一处任意文件读取漏洞(CVE-2024-23897)。Jenkins 有一个内置的命令行界面 (CLI),可以从脚本或 shell 环境访问 Jenkins。由于Jenkins使用 args4j 库解析CLI命令参数的功能存在缺陷,攻击者可利用该漏洞读取Jenkins 控制器文件系统上的任意文件,并结合其他功能可能导致任意代码执行。目前漏洞POC已公开,风险较高。
此外,Jenkins官方更新的新版本中还修复了一个命令行跨站WebSocket劫持漏洞(CVE-2024-23898),Jenkins受影响版本不会对通过 CLI WebSocket 端点发出的请求执行源进行验证,从而导致跨站点 WebSocket 劫持 (CSWSH) 漏洞,攻击者利用漏洞可以在 Jenkins 控制器上执行 CLI 命令。
Jenkins是一个开源的、提供友好操作界面的持续集成(CI)工具。基地政务云提醒使用Jenkins的用户及时安排自检并做好安全加固。
参考链接:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
https://www.openwall.com/lists/oss-security/2024/01/24/6
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、 影响范围
影响版本:
CVE-2024-23897:
Jenkins <= 2.441
Jenkins LTS <= 2.426.2
CVE-2024-23898:
2.217>= Jenkins <=2.441
2.222.1>= Jenkins LTS<= 2.426.2
安全版本:
Jenkins 2.442
Jenkins LTS 2.426.3
四、安全建议
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
https://www.jenkins.io/download/