一、漏洞详情
Jenkins是一个开源的、提供持续集成服务(CI)的软件平台。Jenkins使用Remoting库实现控制器与代理之间的通信,该库允许代理从控制器加载类和类加载器资源,以便从控制器发送的Java对象(构建步骤等)可以在代理上执行。
近日,监测到Jenkins Remoting任意文件读取漏洞(CVE-2024-43044),由于Remoting库ClassLoaderProxy#fetchJar方法没有限制代理请求从控制器文件系统读取的路径,可能导致拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件(如凭证、配置文件等敏感信息)并进一步利用导致远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Jenkins <= 2.470
Jenkins LTS <= 2.452.3
三、修复建议
目前官方已发布安全更新,建议受影响用户升级至最新版本:Jenkins 2.471、LTS 2.452.4、LTS 2.462.1或更高版本