更新時間:2024/01/31 15:32:13
發佈時間:2024/01/31 15:32:13
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明 [1]
Jenkins近期發布高風險任意檔案讀取漏洞(CVE-2024-23897),攻擊者成功利用漏洞時可透過CLI存取系統內的任意檔案,並藉由取得之資訊結合系統內建功能以進行遠端執行任意程式碼等攻擊。
二、已揭露攻擊程式碼說明
GitHub上已有相關POC程式碼[2]。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://www.jenkins.io/security/advisory/2024-01-24/ | 1.Jenkins |
| https://github.com/h4x0r-dz/CVE-2024-23897 | 2.GitHub |
| https://github.com/jenkinsci-cert/SECURITY-3314-3315/ | 3.GitHub |
▶ 影響平台
⌵
影響平台-系統:
Jenkins weekly 2.441以前版本,修復於 2.442
Jenkins LTS 2.426.2以前版本,修復於 2.426.3
▶ 建議措施
⌵
1. Jenkins已發布相關修補版本,建議會員依照單位內既有漏洞管理機制,評估後執行相關作業。
2. 若無法即時進行修補,可進行風險評估後參考官方提供的程序[3]透過關閉SSH Port以及禁用CLI方式以緩解本次漏洞的影響。
▶ 漏洞資訊
⌵
名稱:
CVE-2024-23897
描述:
使用版本:CVSS 3.1
分析分數:9.8
參考來源:Jenkins
情資編號:
FISAC-200-202401-0004
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞