预警Jenkins 曝“Java 反序列化”高危漏洞

Posted 2021-04-07 迪普科技

近日，Jenkins 官方发布安全公告：Jenkins版本中存在Java反序列化高危漏洞，导致远程代码执行。

Jenkins是美国CloudBees公司基于Java开发的一种开源软件项目，主要用于执行工作监控和持续的软件版本发布或者测试项目的监控。支持的版本控制工具包括AccuRev、CVS、Subversion、Git、Mercurial、Perforce、Clearcase、RTC，也可以执行Apache Ant、Apache Maven、sbt项目、任意shell脚本和Windows批处理命令等。本次受影响的版本之一LTS是Jenkins的一个长期支持版本。

漏洞详情

◆漏洞编号:CVE-2017-1000353

◆受影响的版本：Jenkins < 2.58

                            Jenkins LTS < 2.46.2

◆漏洞描述：

序列化指将应用程序的对象实例转换为二进制格式的过程，这种二进制格式可以用来在网络上传输或者写入磁盘。反序列化是指将二进制格式数据重新转换为应用程序的对象实例。在反序列化成对象实例的时候，可能会有相关函数得到执行，从而造成潜在的代码执行漏洞。

本次漏洞产生于HTTP协议双向通信通道的实现代码中。触发该漏洞需要发送两个请求，第一个请求为双向通道启动会话，并从服务器下载数据，第二个请求是双向通信通道的发送组件。

反序列化的操作在Command类的readFrom函数，由于Jenkins不验证序列化对象，可以发送任何序列化对象，绕过现有的基于黑名单的保护机制，远程攻击者利用该漏洞在受影响应用程序的上下文中执行任意代码（或造成拒绝服务），从而获取系统权限，进行攻击。

迪普科技修复建议

◆ Jenkins升级到版本2.58，Jenkins LTS升级到版本2.46.2。

◆ 对Jenkins后台配置强密码，配置网络访问控制策略，禁止对所有人开放和访问。

迪普科技

让网络更简单、智能、安全