安全公告编号:CNTA-2017-0034

近日，国家信息安全漏洞共享平台（CNVD）收录了Jenkins存在的多个漏洞（CNVD-2017-05551、CNVD-2017-05570、CNVD-2017-05571、CNVD-2017-05572分别对应CVE-2017-1000353、CVE-2017-1000354、CVE-2017-1000355、CVE-2017-1000356）。攻击者利用上述漏洞，可在受影响的应用程序的上下文中执行任意代码、冒充Jenkins用户或造成Jenkins服务器拒绝服务等威胁。

一、漏洞情况分析

Jenkins是一个开源软件项目，基于Java开发的一种持续集成工具，用于监控持续重复的工作。Jenkins CLI工具允许用户通过命令行来操作Jenkins。2017年4月27日，软件集成平台Jenkins官方发布了安全通告，包含了更新修复程序，修复了4个安全漏洞，详细情况如下：

二、漏洞影响范围

漏洞影响Jenkins 2.56 及以前的版本 、Jenkins LTS 2.46.1 及以前的版本。根据CNVD秘书处普查情况，互联网上共有20600台服务器主机使用jenkins框架，其中排名前五名的国家和地区是：美国（占比58.0%）、德国（7.2%）、英国（4.4%）、荷兰（4.4%）、法国（3.5%）；中国排名第六，占比约3.1%。

三、防护建议：

厂商已修复上述漏洞，并将SignedObject添加到远程黑名单中。请及时升级到以下对应版本：JenkinsLTS 2.46.2和Jenkins 2.57。在Jenkins2.54中，基于远程处理的CLI协议已被弃用，除了现有的基于SSH的CLI之外，还引入了一种基于HTTP的协议作为新的默认协议。此功能已在Jenkins 2.46.2中实现，建议用户升级Jenkins，禁用基于远程处理的CLI，并使用其他处理模式(HTTP或SSH)。

附：参考链接：

https://jenkins.io/security/advisory/2017-04-26/

http://www.securityfocus.com/bid/98056/info

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05551

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05570

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05571

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05572