綜述
近日, Jenkins官方發佈了一則安全通告, 該通告描述了2個Jenkins的安全性漏洞, 會導致一些安全設置無法被設置為預設狀態, 或者失去CSRF的保護機制。 Jenkins已經通過新版本進行了修復。
參考連結:
https://jenkins.io/security/advisory/2017-12-14/
漏洞簡述
以下漏洞均源於Jenkins在啟動期間的競態條件(race condition), 可能會導致在初始化期間執行命令的順序錯誤。
漏洞1:在啟動時初始化設置嚮導的隨機失敗
在Jenkins 2.81和更新的版本中, 包括LTS 2.89.1, 在極少數情況下會導致第一次啟動時無法初始化安裝嚮導。 這導致若干項安全設置無法設置為正常狀態。
漏洞2:啟動後CSRF保護延遲
Jenkins可能不會再顯示“Jenkins正準備工作的請等待”消息,
具體的漏洞相關資訊, 請參考以下連結:https://jenkins.io/security/advisory/2017-12-14/
受影響的產品及版本
漏洞1:在啟動時初始化設置嚮導的隨機失敗
Jenkins 2.81 – 2.94
Jenkins LTS 2.89.1
漏洞2:啟動後CSRF保護延遲
Jenkins <= 2.94
Jenkins LTS <= 2.89.1
不受影響的產品及版本
Jenkins main line >= 2.95
Jenkins LTS 2.89.2
解決方案
Jenkins官方已經提供了新版本來修復上述各漏洞, 請受影響的用戶儘快升級到新版本, 下載連結如下:
https://jenkins.io/download/
聲明本安全公告僅用來描述可能存在的安全問題, 綠盟科技不為此安全公告提供任何保證或承諾。
由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失, 均由使用者本人負責,
綠盟科技擁有對此安全公告的修改和解釋權。
如欲轉載或傳播此安全公告, 必須保證此安全公告的完整性, 包括版權聲明等全部內容。 未經綠盟科技允許, 不得任意修改或者增減此安全公告內容, 不得以任何方式將其用於商業目的。
關於綠盟科技
北京神州綠盟資訊安全科技股份有限公司(簡稱綠盟科技)成立於2000年4月, 總部位於北京。 在國內外設有30多個分支機搆, 為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶, 提供具有核心競爭力的安全產品及解決方案, 説明客戶實現業務的安全順暢運行。
基於多年的安全攻防研究, 綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域,
北京神州綠盟資訊安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易, 股票簡稱:綠盟科技, 股票代碼:300369。