Jenkins開發(fā)人員最近修復(fù)了多個漏洞，包括一個能被遠程攻擊者執(zhí)行任意代碼的嚴重漏洞。
Jenkins修復(fù)遠程代碼執(zhí)行漏洞
Jenkins是一款最流行的開源自動化服務(wù)器，全球的下載量超過13.3萬次，用戶超過100萬。這款產(chǎn)品由CloudBees和Jenkins社區(qū)維護，旨在幫助開發(fā)人員構(gòu)建、測試并部署軟件。
一名獨立安全研究員最近通過Beyond Security的SecuriTeam安全披露計劃指出，Jenkins遭受一個跟Java反序列化相關(guān)的嚴重漏洞影響。專家指出，這個缺陷能讓未經(jīng)驗證的攻擊者通過將兩個特別編制的請求發(fā)送給易受攻擊的服務(wù)器執(zhí)行任意代碼。該漏洞編號為CVE-2017-1000353，于本月初發(fā)布。

Jenkins開發(fā)人員在4月末發(fā)布的一份安全公告中指出，這個嚴重漏洞“能讓攻擊者將一個序列化Java SignedObject對象轉(zhuǎn)移到遠程Jenkins CLI。CLI會通過一個新的ObjectInputStream進行反序列化，繞過現(xiàn)存的黑名單防護機制”。
Jenkins 2.57和2.46.2 (LTS) 版本的發(fā)布修復(fù)了這個漏洞，同時解決了多個其它類型的缺陷，包括多個高危CSRF漏洞等。開發(fā)人員表示這些漏洞能被用于重啟服務(wù)器、降級Jenkins、安裝插件、更改用戶的API口令、更改配置并創(chuàng)建管理員賬戶。另外的一個安全弱點CVE-2017-1000354能讓攻擊者偽裝成Jenkins用戶，它跟 “login” 命令相關(guān)，會將成功驗證用戶的加密用戶名存儲在一個緩存文件中。
這次更新還解決了跟XStream庫相關(guān)的一個中危問題。XStream庫是第三方組件，Jenkins用于序列化和反序列化XML，它受到一個可導(dǎo)致Java進程崩潰的漏洞影響