一、概要
近日我们监测到Jenkins官方发布安全公告,披露在Jenkins 2.224至2.242和LTS 2.222.1至2.235.4捆绑了带有安全漏洞CVE-2019-17638的Jetty 9.4.27,该漏洞允许未经身份验证的攻击者获取用户的敏感数据。
我们提醒使用Jenkins的用户及时安排自检并做好安全加固。
详情请参考链接:
https://www.jenkins.io/security/advisory/2020-08-17/
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
2.224 <= Jenkins weekly <= 2.242
2.222.1 <= Jenkins LTS <= 2.235.4
安全版本:
Jenkins weekly 2.243
Jenkins LTS 2.235.5
四、漏洞处置
目前,官方已在新版本修复了该漏洞,请受影响的用户升级到安全版本:
下载地址:https://www.jenkins.io/download/
注:修复漏洞前请将资料备份,并进行充分测试。