铱迅WAF支持Jenkins 未授权文件读取漏洞防护
铱迅WAF支持Jenkins 未授权文件读取漏洞防护
Jenkins是一款基于Java开发的开源持续集成工具,用于自动化软件开发中的一些技术任务,如构建、测试和部署代码,可以帮助开发团队更快地集成和交付软件。因此受到很多开发人员的喜爱,但也容易被不法分子盯上,利用已知漏洞造成各种危害。
Jenkins 未授权文件读取漏洞(CVE-2024-23897)就是其中一种危害较大的漏洞攻击者只需下载一个jenkins-cli.jar命令行客户端,使用@加在文件路径前,即可导致Jenkins读取并泄露敏感的系统文件。目前漏洞利用方法已公开,风险较高。
威胁行为者可以利用这个问题,使用Jenkins控制器进程的默认字符编码读取Jenkins控制器文件系统上的任意文件。
虽然具有“Overall/Read”权限的攻击者可以读取整个文件,但没有该权限的攻击者可以根据CLI命令读取文件的前三行。
此外,尽管有一定的限制,仍不排除可以利用这个问题来读取包含加密密钥的二进制文件。Jenkins 表示,如果二进制机密可以被提取出来,它可能会为各种攻击打开大门。
<= Jenkins 2.441、<= LTS 2.426.2
升级到最新版
禁用cli功能
使用铱迅web应用防护系统(推荐)
铱迅Web应用防护系统(YXLink Web Application Firewall,简称YXLink WAF)。它是铱迅信息结合多年在应用安全理论与应急响应实践经验积累的基础上,自主研发的一款应用级Web防护系统。在提供应用实时深度防御的同时,实现Web应用加速与防止敏感信息泄露的功能,为Web应用提供较为全面的防护解决方案。
南京铱迅信息技术股份有限公司始终坚持以客户为中心,以技术创新为驱动致力于为客户提供全面,便捷的网络防护,因此铱迅WAF 近日更新了12.11.27.12.版本规则,能有效防护Jenkins 未授权文件读取和Oracle延时注入,让您安心无忧,不用担心黑客的攻击。
安全有“铱”靠,网络更“迅”捷
南京铱迅信息技术股份有限公司(股票代码:832623。简称:铱迅信息,英文缩写:YXLink)是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷,在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感,自主研发,努力创新,以“让客户更安全”为理念,致力为互联网安全做出一份贡献。