關于Jenkins存在Java反序列化等多個漏洞的安全公告

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了Jenkins存在的多個漏洞（CNVD-2017-05551、CNVD-2017-05570、CNVD-2017-05571、CNVD-2017-05572分别對(duì)應CVE-2017-1000353、CVE-2017-1000354、CVE-2017-1000355、CVE-2017-1000356）。攻擊者利用上述漏洞，可在受影響的應用程序的上下文中執行任意代碼、冒充Jenkins用戶或造成(chéng)Jenkins服務器拒絕服務等威脅。

一、漏洞情況分析
Jenkins是一個開(kāi)源軟件項目，基于Java開(kāi)發(fā)的一種(zhǒng)持續集成(chéng)工具，用于監控持續重複的工作。Jenkins CLI工具允許用戶通過(guò)命令行來操作Jenkins。2017年4月27日，軟件集成(chéng)平台Jenkins官方發(fā)布了安全通告，包含了更新修複程序，修複了4個安全漏洞，詳細情況如下：

二、漏洞影響範圍
漏洞影響Jenkins 2.56 及以前的版本 、Jenkins LTS 2.46.1 及以前的版本。根據CNVD秘書處普查情況，互聯網上共有20600台服務器主機使用jenkins框架，其中排名前五名的國(guó)家和地區是：美國(guó)（占比58.0%）、德國(guó)（7.2%）、英國(guó)（4.4%）、荷蘭（4.4%）、法國(guó)（3.5%）；中國(guó)排名第六，占比約3.1%。
三、防護建議：
廠商已修複上述漏洞，并將(jiāng)SignedObject添加到遠程黑名單中。請及時升級到以下對(duì)應版本：JenkinsLTS 2.46.2和Jenkins 2.57。在Jenkins2.54中，基于遠程處理的CLI協議已被(bèi)棄用，除了現有的基于SSH的CLI之外，還(hái)引入了一種(zhǒng)基于HTTP的協議作爲新的默認協議。此功能(néng)已在Jenkins 2.46.2中實現，建議用戶升級Jenkins，禁用基于遠程處理的CLI，并使用其他處理模式(HTTP或SSH)。