Jenkins 任意文件读取漏洞分析
一、漏洞背景
漏洞编号:CVE-2018-1999002 漏洞等级:高危 Jenkins 7 月 18 日的安全通告修复了多个漏洞,其中 SECURITY-914 是由 Orange (博客链接:http://blog.orange.tw/)挖出的 Jenkins 未授权任意文件读取漏洞。 腾讯安全云鼎实验室安全研究人员对该漏洞进行分析发现,利用这个漏洞,攻击者可以读取 Windows 服务器上的任意文件,对于 Linux,在特定条件下也可以进行文件读取。利用文件读取漏洞,攻击者可以获取到 Jenkins 的凭证信息,从而造成敏感信息泄露。另外,在很多时候,Jenkins 的部分凭证和其内用户的帐号密码相同,获取到凭证信息后也可以直接登录 Jenkins 进行命令执行操作等。二、漏洞分析
Jenkins 在处理请求的时候是通过 Stapler 进行处理的,Stapler 是一个 Java Web 框架。查看 web.xml 可知,Stapler 拦截了所有请求:







三、利用方式
一般来说,文件读取漏洞很难转化为命令执行,对于 Jenkins 也是如此。不过 Jenkins 有一个 Credentials 模块,这个模块储存了 Jenkins 的一些凭证信息,很多时候,其凭证的帐号密码是和 Jenkins 的帐号密码相同的。无论如何,在成功利用文件读取漏洞后,都要将凭证信息读取并解密,以收集更多的信息。 如果我们想获取 Jenkins 的凭证信息的话,需要以下几个文件:- credentials.xml
- secrets/hudson.util.Secret
- secrets/master.key


四、修复方案
虽然这个漏洞危害较大,但是不必太过担心,因为默认安装 Jenkins 的时候匿名用户是没有可读权限的。并且此漏洞在 Linux 上被利用的可能性较小。以下为推荐的修复方案: ➢针对此高危漏洞利用,腾讯云网站管家 WAF AI 引擎可检测并拦截,如果需要,可在腾讯云官网进一步了解 ➢在全局安全配置中将匿名用户的可读权限去掉 ➢升级到最新版本的 Jenkins(2.121.2) ➢使用 Linux关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 不断推动构建人类命运共同体 7904872
- 2 财政部:适当提高退休人员基本养老金 7808781
- 3 高考结束 考生最想做的事是带孩子 7714298
- 4 让大流量成为新增量 7618338
- 5 发工资不让干活是一种新型诈骗 7523952
- 6 45岁张柏芝近照曝光变化好大 7428363
- 7 网警护航 高考个人信息安全指南来了 7332407
- 8 特朗普:支持逮捕加州州长 7234899
- 9 切好的西瓜能买吗 7138499
- 10 前5月中国外贸保持较强韧性 7041342