原文出處:https://mp.weixin.qq.com/s/T6s2yB92wTPiQnQ9FpJ3MQ
Jenkins 7 月 18 日的安全通告修復了多個漏洞,其中 SECURITY-914 是由 Orange (部落格連結:http://blog.orange.tw/)挖出的 Jenkins 未授權任意檔案讀取漏洞。
騰訊安全雲鼎實驗室安全研究人員對該漏洞進行分析發現,利用這個漏洞,攻擊者可以讀取 Windows 伺服器上的任意檔案,對於 Linux,在特定條件下也可以進行檔案讀取。利用檔案讀取漏洞,攻擊者可以獲取到 Jenkins 的憑證資訊,從而造成敏感資訊洩露。另外,在很多時候,Jenkins 的部分憑證和其內使用者的帳號密碼相同,獲取到憑證資訊後也可以直接登入 Jenkins 進行命令執行操作等。
文章圖片來源:https://jenkins.io/
前言引用來源:https://mp.weixin.qq.com/s/T6s2yB92wTPiQnQ9FpJ3MQ
如文章侵犯,作者有疑義,請來信聯繫[email protected],將立即刪除,謝謝。
-------------------
如果你認同支持我們每日分享的文章的話,請幫我們按個讚並且點擊追蹤「搶先看」,這樣就可以快速獲得最新消息囉!
您的分享及點讚,是我們最大的動力來源。
https://www.facebook.com/LonelyPoPo/
