Jenkins Remoting远程代码执行漏洞

来源: 投稿

2024-08-08 11:23:00

漏洞描述

Jenkins 是由Java编写的开源持续集成工具，Remoting 库用来实现控制端和 agent 端之间的通信。

受影响版本中，由于 ClassLoaderProxy#fetchJar 方法未对 agent 端的请求路径进行限制，具有Agent/Connect权限的攻击者可通过 Channel#preloadJar Api读取控制端上任意文件(包括配置文件、密码等)并接管后台，进而在目标服务器远程执行任意代码。

补丁版本限制 Channel#preloadJar 请求只能发送Jar文件，限制 agent 端从控制端主动请求文件修复此漏洞。

漏洞名称	Jenkins Remoting远程代码执行漏洞
漏洞类型	代码注入
发现时间	2024-08-07
漏洞影响广度	-
MPS编号	MPS-18jf-gwlv
CVE编号	CVE-2024-43044
CNVD编号	-

影响范围

jenkins@[2.470, 2.471)

jenkins@[2.462, 2.462.1)

jenkins@[2.452, 2.452.4)

修复方案

将组件 jenkins 升级至 2.471 及以上版本

将组件 jenkins 升级至 2.462.1 及以上版本

将组件 jenkins 升级至 2.452.4 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-18jf-gwlv

https://www.jenkins.io/security/advisory/2024-08-07/

https://github.com/jenkinsci/jenkins/commit/3f54c41b40db9e4ae7afa4209bc1ea91bb9175c0

https://nvd.nist.gov/vuln/detail/CVE-2024-43044

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

kakai 2024-09-07 10:39

微信咋得罪你了？不管怎么样，微信此举哪怕从自身商业利益出发，让苹果降低中国税率这是利于中国人的，这个税率可不仅仅是针对微信的，还苹果大功一件，这是多么愚蠢、可耻的言论！

longzz 2024-09-14 11:04

🤣65岁还在写代码吗？

平波 2024-09-14 19:01

你了做过为为的项目啊；😂

封神梦 2024-09-14 17:53

反正wps就是各种vip广告，挺恶心人的

天

天1天1天 2024-09-14 16:56

文章写的也没错，至于是不是steam的功劳，也无所谓，反正能玩了。

简洛-默 2024-08-12 19:31

你是家里才通网吗? 龙芯早都弃用MIPS了，现在是自研的LoongArch。自己好好看看吧：https://loongarch.dev/zh-cn/posts/20210501-loongarch-manual/

vb2005xu 2024-09-14 10:17

这数据有1%真吗

Francesca 2024-09-15 17:30

会不会是你用的版本比较老，新版本应该没问题

阳光满地 2024-09-15 00:25

加个证书那么简单的事，为什么还要等下一步再优化呢？

来开源啊 2024-09-14 15:07

25× 23.1 √

奶奶灰 2024-09-15 20:28

换kvm 了

0day 2024-07-21 11:52

一个流氓也配谈安全？

Kevin586 2024-07-29 17:09

真降低成本还是得换go，java太吃内存了

yh2216 2024-09-14 10:26

猜测：c++部分应该是切换了鸿蒙的系统api，UI则仅仅是使用鸿蒙的UI框架而已。

加百列Gabriel 2024-09-14 13:50

各位不要急着更新, 更新完之后linux虚拟机不支持3D加速了

我要探索宇宙 2024-09-16 14:43

3.5.2版本，队列redis能用集群模式的redis吗？

平波 2024-09-14 15:46

你真是行家里手啊，😂；这个本质是数学建模，就像初中数学中的板据两点确定一条直线，然后可以根据任意x,预测y值啊，其实就这么简单啊

HalLi 2024-09-09 01:10

普通用户不懂就算了，怎么连程序员都不懂？苹果是全平台30%，国产是渠道服50%。微信、抖音这种大app哪来的渠道服，除了游戏，哪个app带渠道服。

liming0101 2024-09-10 09:09

什么纳吉东西，还碰瓷黑神话

无尽的拉格朗日 2024-09-14 12:56

底层代码大部分估计都能共用反正都是c/c++，上层界面层重写吧

blue_think 2024-08-26 11:00

别光喷华为啊，说点你自己的能力，到了什么程度，有什么成就，这样好歹有点说服力吧

dwingo 2024-07-18 10:12

不是不让用jni和unsafe啊, 只是做了"限制", 只要加命令行参数就能继续用, 目的是为了让使用者考量程序的安全性.

yh2216 2024-09-14 10:24

wps确实做的很棒，比微软的office好用，比libreoffice好用很多。wps加油，鸿蒙做的不错，继续加油，支持生态建设。

fzn0268 2024-09-04 14:26

这是那个做代码生成器的老哥起的吧

叨

叨叨颠颠 2024-09-14 16:17

代码这东西就和女人穿不同衣服一样，包装不同，就可以换个人样儿，其实里面还是。字符串替换--变量名改改、方法名改改、文件名改改，方法return的改为void，值参改形参，一个类改几个拼接，一个结构体改几个组合，一个方法改几代继承。哪个敢说这是抄，百分之百纯自研，原生态。

osc_566335 2024-08-01 15:05

“虽然两人只有大专学历”—— 大专也算高等教育，现在这些媒体口中已经文盲一个级别的感觉了吗？

CloudShi83 2024-07-06 17:13

感谢祖师爷赏饭吃，给你磕一个

高排量低炭烧 2024-09-14 23:34

牛逼🤬

智布道 2024-08-13 12:02

不管是谁在打平安县城，我三五八团一定帮帮场子！

zb79463626 2024-08-26 15:51

IBM中国哪有什么研发? 全部都是测试！所谓的搞研发的都是去养老混日子的！

黑人牙膏 2024-07-21 12:12

真的人不要脸则无敌，只要他不尴尬，尴尬的是别人。

浪_客 2024-09-15 12:54

继续用vm吧，ensp不让用新版vbox😂

字节跳动开源 2024-09-14 16:05

可以的，可以看看发布的一些用户案例

279778325 2024-08-16 16:22

好不容易有个国产开发平台，没有鼓励只有贬低，就算宣传夸大怎么了？那么较真干什么？遍地都是夸大的广告宣传怎么不一个一个去找厂家？批判的同时想想自己能搞一个吗？为什么加上国产俩字就非要这么较真？

osc_50722289 2024-09-06 13:51

如果苹果不让步，微信也不让步那就好看了！微信在中国深入寻常百姓家！支付社交微信根本离不开，如果微信不在IOS上更新，苹果“不用混了”

深夜49 2024-09-14 14:36

免费版只能用30分钟，太坑了吧。

大后锋 2024-07-10 14:03

然后交警找责任方，打过去是牛逼高大上的生成式AI的客服

songdragon 2024-08-14 13:11

这个对比的条件还存在好几个问题。 1. solon使用的是smart-http，spring使用的是undertow 2. solon启动本身的自动配置少于spring 这两点就决定了对比的维度不同，性能更好的原因大概率是web服务器、应用配置依赖导致的。如果要拉齐，需要使用同样的web服务器，spring应用排除掉所有的自动配置，只保留web必须的，才能说明框架的性能差距。现在这个结果，无法说明solon本身性能好。