关于Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)的预警提示

发布者:jsut发布时间:2024-09-04浏览次数:380

一、漏洞详情

Jenkins是一个开源的、提供持续集成服务(CI)的软件平台。Jenkins使用Remoting库实现控制器与代理之间的通信,该库允许代理从控制器加载类和类加载器资源,以便从控制器发送的Java对象(构建步骤等)可以在代理上执行。

近日,监测到Jenkins Remoting任意文件读取漏洞(CVE-2024-43044),由于RemotingClassLoaderProxy#fetchJar方法没有限制代理请求从控制器文件系统读取的路径,可能导致拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件(如凭证、配置文件等敏感信息)并进一步利用导致远程代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Jenkins <= 2.470

Jenkins LTS <= 2.452.3

三、修复建议

目前官方已发布安全更新,建议受影响用户升级至最新版本:Jenkins 2.471LTS 2.452.4LTS 2.462.1或更高版本