Jenkins高危远程代码执行漏洞

Jenkins是基于Java开发的一种持续集成工具，用于监控持续重复的工作，功能包括：1、持续的软件版本发布/测试项目；2、监控外部调用执行的工作。近日，百度安全指数平台发布了一篇针对Jenkins的高危远程代码执行漏洞的内容，今天推火专家seo博客把这篇内容转载过来和朋友们分享一下。

漏洞描述

近日，Jenkins官方发布安全公告，公告介绍Jenkins某些版本中存在Java反序列化高危漏洞，可以导致远程代码执行。 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中，Jenkins利用此通道来接收命令，恶意攻击者可以构造恶意攻击参数远程执行命令，从而获取系统权限，造成数据泄露。

影响版本

Jenkins 2.56及之前的版本；

Jenkins LTS 2.46.1及之前的版本。

漏洞等级：高危

修复建议

1、Jenkins main line用户应升级至2.58版本，Jenkins LTS用户应升级至2.46.2版本。Jenkins公告链接：https://jenkins.io/security/advisory/2017-04-26/ ；

2、使用百度云加速WAF防火墙进行防御；

3、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

了解更多

http://www.securityfocus.com/bid/98056/info