Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)
一、漏洞描述
该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。
二、漏洞影响版本
所有jenkins主版本均受到影响(包括<=2.56版本)
所有的jenkins LTS均受到影响(包括<=2.46.1版本)
三、漏洞环境搭建
1、 官方下载jenkins-2.46-1.1.noarch.rpm,下载地址:http://mirrors.jenkins.io
2、 在redhat安装jenkins
rpm -ivh jenkins-2.46-1.1.noarch.rpm
3、开启jenkins服务
4、浏览器访问http://192.168.10.137:8080,如下图所示需要输入密码,密码文件在如下图位置