Összefoglaló
A Jenkins integrációs eszköz sérülékenysége vált ismertté, amely távoli kódfuttatásra ad lehetőséget. A sérülékenységet kiküszöbölő megoldás még nem szerezhető be a gyártótól, várhatóan november 16-án jelenik meg.
Leírás
A Jenkins CLI alrendszere nyújt lehetőséget a sérülékenység kihasználására.
Megoldás
A hivatalos frissítés megérkezéséig a gyártó az alábbi ideiglenes megoldást javasolja:
A gyártó GitHub weboldalán található szkript használatával tiltsa le a Jenkins szerver parancssoros alrendszerét.
Támadás típusa
execute arbitrary codeHatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: jenkins.io
Egyéb referencia: github.com