一、 概要

近期Jenkins官方發(fā)布了最新的安全公告，披露了一個(gè)遠(yuǎn)程任意文件讀取漏洞（漏洞編號(hào)：CVE-2018-1999002），該漏洞可能導(dǎo)致服務(wù)器敏感文件被攻擊者獲取，從而對(duì)服務(wù)器造成進(jìn)一步危害。

CVE-2018-1999002：Jenkins使用的Stapler Web框架中的任意文件讀取漏洞允許未經(jīng)身份驗(yàn)證的用戶發(fā)送惡意的HTTP請(qǐng)求，可以獲取Jenkins具備權(quán)限的任何文件內(nèi)容。

參考鏈接：

https://jenkins.io/security/advisory/2018-07-18/

二、漏洞級(jí)別

漏洞級(jí)別：【重要】

（說(shuō)明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

漏洞影響如下版本：

Jenkins weekly 2.132及之前版本

Jenkins LTS  2.121.1及之前版本

四、安全建議

目前廠商已發(fā)布最新版本修復(fù)了上述問(wèn)題，建議受影響的租戶隨時(shí)關(guān)注廠商的下載頁(yè)面以獲取對(duì)應(yīng)的最新版本，官方對(duì)應(yīng)Jenkins weekly 2.134和Jenkins LTS 2.121.2，下載鏈接如下：

https://jenkins.io/download/

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。