Jenkins远程代码执行漏洞(CVE-2017-1000353)【转】

Jenkins的又一java反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。

有关漏洞的原理分析可以见下文:

看到其它文章中介绍受影响的范围:

  • 影响低于 2.56 的所有 Jenkins 主线版本
  • 影响低于 2.46.1 的所有 Jenkins LTS 版本

我搭建了多个测试环境,分别是jenkins 2.3、jenkins 2.31都没有复现成功,使用jenkins 2.32.1成功复现。利用老外文章的代码,导出成payload.jar包,用来生成攻击用的payload文件。可以自定义需要执行的命令:

1
java -jar payload.jar jenkins_poc1.ser "/usr/bin/touch /tmp/jenkinsTestNxadmin"

然后利用老外提供的python脚本向jenkins服务器提交post请求,就可以成功在被攻击服务器/tmp目录下生成文件。也可以使用dnslog之类的来测试,如图:

Jenkins远程代码执行漏洞(CVE-2017-1000353) - 第1张  | 阿德马Web安全

Jenkins远程代码执行漏洞(CVE-2017-1000353) - 第2张  | 阿德马Web安全

修复建议:

  • Jenkins 主线版本升级到 2.57
  • Jenkins LTS 版本 2.46.2

参考链接:

http://www.securityfocus.com/bid/98056/info

https://cloud.chaitin.cn/vul/detail?id=54d88f5e-afb5-4912-9824-0c53791cc396

此条目发表在未分类, 漏洞攻击分类目录。将固定链接加入收藏夹。