服务公告

全部公告 > 安全公告 > CVE-2017-1000353:Jenkins Java反序列化远程代码执行漏洞安全预警

CVE-2017-1000353:Jenkins Java反序列化远程代码执行漏洞安全预警

2017-05-04

一、概要

近日,Jenkins 官方发布安全公告,公告介绍Jenkins版本中存在Java反序列化高危漏洞,可以导致远程代码执行。 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,Jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。

漏洞编号: CVE-2017-1000353

二、漏洞级别

严重。(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

所有Jenkins主版本均受到影响(包括2.56版本)

所有Jenkins LTS 均受到影响( 包括2.46.1版本)

四、安全建议

由于该漏洞可以直接远程利用,且目前已经公开了POC,强烈建议用户尽快升级到最新版:

Jenkins 主版本用户升级到2.57

Jenkins LTS 版本用户升级到2.46.2

参考链接:https://jenkins.io/security/advisory/2017-04-26/

注意:修复漏洞前请将资料备份,并进行充分测试。



华为云客户服务中心
2017年5月4日

点我,12·12惊喜等着你哦~