发布时间:2019-09-27 12:05:55,来源:中国信息通信研究院
一、 基本情况
Jenkins Git client插件存在远程命令执行漏洞,CVE编号:CVE-2019-10392。该漏洞存在于Git客户端插件中,若攻击者获取到具有Job/Configure权限的账号,可在Jenkins服务器上执行任意系统命令。
二、 攻击原理
Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件,是开发过程中常用的产品,将近有4万Jenkins服务开放在公网。
该漏洞存在于Jenkins Git client插件中,由于在Git项目创建功能中,服务器未对repo url字段进行安全验证,攻击者可以在此字段插入--upload-pack参数,并在参数后插入想要执行的命令。当Jenkins接收到传入的数据时,会在传入的参数值前面添加git ls-remote -h 并将传入的数据连接在后面,形成如下格式的命令:
从而在Jenkins服务器上执行任意命令。
三、 影响范围
受影响版本:
Git client plugin <= 2.8.4
不受影响版本:
Git client plugin > 2.8.4
四、 处置建议
目前Jenkins官方已经针对该漏洞发布了新版本,请受影响的用户尽快升级Git client插件至2.8.4以上版本进行防护,操作步骤如下:
点击“Manage Jenkins”->“Manage Plugins”,进入插件管理界面,选择需要升级的插件,点击“Download now and install after restart”进行更新操作。
五、 参考链接
https://jenkins.io/security/advisory/2019-09-12/