⽂末附操作实践Jenkins远程代码执⾏漏洞(CVE-2019-1003000)复现
安全预警
2019年1⽉8⽇,Jenkins官⽅发布了⼀则Security and Pipeline插件远程代码执⾏漏洞的安全公告,漏洞CVE编号为:CVE-2019-1003000,官⽅定级为⾼危。
2019年2⽉15⽇,⽹上公布了该漏洞的利⽤⽅式,该漏洞允许具有“Overall/Read”权限的⽤户或能够控制SCM中的Jenkinsfile或者sandboxedPipeline共享库内容的⽤户绕过沙盒保护并在Jenkins主服务器上执⾏任意代码。
事件分析
Jenkins是⼀个开源软件项⽬,是基于Java开发的⼀种持续集成⼯具,⽤于监控持续重复的⼯作,旨在提供⼀个开放易⽤的软件平台,使软件的持续集成变成可能。Jenkins的⽬的是持续、⾃动地构建/测试软件项⽬以及监控软件开放流程,快速问题定位及处理,提⽰开放效率。
Security and Pipeline插件是Jenkins的⼀个安全插件,可以集成到Jenkins各种功能插件中。它主要⽀持两个相关系统:脚本批准和Groovy沙盒。
漏洞产⽣原因:其成因是jenkins开源项⽬⾥的
src/main/java/org/jenkinsci/plugins/securityndbox/groovy/GroovySandbox.java
的⽂件允许“具有Overall/Read权限”或者“能够控制SCM中的Jenkinsfile,或者sandboxedPipeline共享库内容权限”的攻击者使⽤可绕过沙盒保护的脚本在Jenkins的master服务器执⾏任意代码
漏洞复现
1. 环境搭建:要求有docker
步骤:
cdcve-2019-1003000-jenkins-rce-poc
pipinstall -
cdsample-vuln
./run.sh
2. 输⼊账号密码user1:user1
cve漏洞库
4.复现完成
修复建议
Jenkins官⽅已经针对该漏洞发布了修复CVE-2019-1003000的安全更新:DeclarativePlugin 更新⾄1.3.4.1版本
GroovyPlugin 更新⾄2.61.1版本
Security Plugin 更新⾄1.50版本
漏洞补丁更新地址
实践操作
Jenkins远程代码执⾏利⽤实践,点击⽂末阅读原⽂,可免费操作体验,⼤家可以⼀起学习!
⼤家有好的技术原创⽂章
了解投稿详情点击重⾦悬赏 | 合天原创投稿等你来!
戳 “阅读原⽂”,操作体验吧!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。