关于jenkins cli漏洞情况的通报-尊龙凯时官方旗舰店

近日，国家信息安全漏洞库（cnnvd）收到关于jenkins cli存在远程代码执行漏洞(cnnvd-201611-384)的情况报送。该漏洞源于jenkins cli存在java反序列化问题，从而导致远程攻击者可在jenkins上执行任意代码，进一步控制服务器。11月16日，jenkins官方对上述漏洞已发布升级公告。由于上述漏洞影响范围广，危害级别高，国家信息安全漏洞库（cnnvd）对此进行了跟踪分析，情况如下：

一、漏洞简介

cloudbees jenkins是美国cloudbees公司的一款基于java开发的开源的、可持续集成的自动化服务器，它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。lts（long-term support）是cloudbees jenkins的一个长期支持版本。

cloudbees jenkins 2.31及之前的版本和jenkins lts 2.19.2及之前的版本中存在远程代码执行漏洞（漏洞编号：cnnvd-201611-384，cve-2016-9299）。攻击者可通过传输恶意的序列化java对象利用该漏洞执行任意代码，绕过保护机制。

二、漏洞危害

远程攻击者可通过构造恶意的java序列化对象发送给jenkins cli，经其解析执行后，可使jenkins连接到攻击者控制的ldap服务器上，该ldap服务器进一步发送恶意指令，可在jenkins上执行任意代码，导致服务器被完全控制。

据统计，目前，全球现有一万余个网站使用了jenkins，存在漏洞的网站数量为12579个，其中排在前五的国家分别为美国，中国，爱尔兰，德国以及荷兰。

漏洞影响全球分布情况

我国受影响网站约有1577个，主要位于浙江(61%)、北京(19%)、上海(6%)等城市，以互联网企业、高校等行业网站为主。

三、修复措施

目前，jenkins官方已发布针对该漏洞的修复版本，并且，该漏洞细节及利用方式已在互联网上公布，请受影响的用户尽快升级至最新版本以消除漏洞影响。

1. jenkins main line用户应升级至2.32版本

2. jenkins lts用户应升级至2.19.3版本

jenkins公告链接：https://jenkins.io/blog/2016/11/16/security-updates-addressing-zero-day/
本报告由cnnvd技术支撑单位—北京长亭科技有限公司、北京白帽汇科技有限公司提供支持。 cnnvd将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与cnnvd联系。

尊龙凯时官方旗舰店的联系方式: cnnvd@itsec.gov.cn