【漏洞预警】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)

admin
admin
admin
139250
文章
114
评论
2024年8月9日08:36:39评论105 views字数 795阅读2分39秒阅读模式

预警公告 严重

近日,安全聚实验室监测到 Jenkins Remoting 存在任意文件读取漏洞,编号为:CVE-2024-43044,漏洞评分:9.1  此漏洞允许代理进程使用 Remoting 库中的“ClassLoaderProxy#fetchJar”方法从 Jenkins 控制器文件系统读取任意文件。

01

漏洞描述

Jenkins Remoting库是Jenkins项目中的一个关键组件,用于支持分布式构建和任务执行。该库提供了一种轻量级的、基于消息传递的远程通信机制,使得Jenkins主节点可以与各个代理节点进行通信和协作。通过Jenkins Remoting库,用户可以在不同的计算机节点上分发和执行任务,实现高效的并行构建和部署流程。这个库还支持安全的通信协议和插件机制,确保了通信的可靠性和安全性。Jenkins Remoting库的灵活性和可扩展性使得Jenkins能够有效地管理复杂的软件开发流程,并提供了便捷的分布式构建解决方案。代理进程可以利用 Remoting 库中的 "ClassLoaderProxy#fetchJar" 方法从 Jenkins 控制器文件系统读取文件,造成任意文件读取漏洞。

02

影响范围


Jenkins <= 2.470

03

安全措施

目前厂商已发布可更新版本,建议用户尽快更新至 Jenkins 的修复版本或更高的版本:

Jenkins >= 2.471

下载链接:
https://github.com/jenkinsci/jenkins/releases

04

参考链接

1.https://www.jenkins.io/security/advisory/2024-08-07/#SECURITY-3430

05

技术支持

长按识别二维码,关注“安全聚”公众号,联系我们的团队技术支持。

【漏洞预警】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)

原文始发于微信公众号(安全聚):【漏洞预警】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月9日08:36:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)https://cn-sec.com/archives/3047832.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息