【安全通报】Jenkins Jetty组件漏洞风险通告(CVE-2019-17638)

花屋敷  467天前

image-20200819195855177.png

Jenkins 2.224-2.242 和 LTS 2.222.1-2.235.4 中自带的Jetty存在安全漏洞,攻击者可以在未登陆的状态下访问到其他用户的敏感信息。

Jenkins 是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。

CVE 编号

CVE-2019-17638

影响范围

  • Jenkins < 2.242
  • Jenkins LTS < 2.235.4

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Jenkins")共有 195,399 个相关服务对外开放。美国使用数量最多,共有 70,963个;中国第二,共有 51,354 个;德国第三,共有 13,047 个;爱尔兰第四,共有 6,592个;印度第五,共有 6,103 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20200819195432913.png

中国大陆地区浙江使用数量最多,共有 11,431 个;北京第二,共有 10,646 个;广东第三,共有 1,647个,上海第四,共有 726 个;江苏第五,共有 462 个。

image-20200819195555521.png

漏洞环境——Vulfocus

目前 Vulfocus 已经集成 jenkins相关的漏洞环境,可通过 docker pull vulfocus/jenkins_2018_1000861 进行拉取运行,可也通过 http://vulfocus.fofa.so/ 进行测试。

image-20200819194636947.png

修复建议

  1. 目前官方已发布漏洞修复版本,建议用户将Jenkins、Jenkins LTS升级到安全版本。

参考

[1] https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论