怀孕挺大肚子疯狂高潮AV毛片,全部孕妇毛片丰满孕妇孕交,中国孕妇XXXXXXXXX孕交

  1. <s id="x54xr"><object id="x54xr"></object></s>
    <span id="x54xr"></span>
  2. <s id="x54xr"><object id="x54xr"><blockquote id="x54xr"></blockquote></object></s>
    1. <em id="x54xr"></em>
    2. Jenkins 代碼執行漏洞  安全預警通告
      2018-12-17
      來源:未知
      點擊數: 6377          作者:未知
      • Jenkins 代碼執行漏洞

        安全預警通告



        2018 年 12 月 07


        目錄 

        1章 安全通告 ......................................... 1 

        2章 文檔信息 ......................................... 2 

        3章 漏洞信息 ......................................... 3 

        3.1 漏洞描述........................................................................................................................................... 3 

        3.2 風險等級........................................................................................................................................... 4 

        4章 影響范圍 ......................................... 5 

        5章 處置建議 ......................................... 6

         6章 參考資料 ......................................... 7 


        1章 安全通告


        2018 12 5 日,Jenkins 官方在 12  5 日發布了安全資訊,稱其當前的 Jenkins 版本存在一個可通過構造 URL 進行代碼執行的漏洞。


        2章 文檔信息

         

         

        文檔名稱 

        Jenkins 非預期方法調用漏洞安全預警通告 

        關鍵字 

        Jenkins、SECURITY-595

        發布日期 

        2018 12 06  


        3章 漏洞信息


        3.1 漏洞描述 

        Jenkins 使用 Stapler 框架來處理 HTTP 請求,Stapler 框架的基本前提是它

        使用反射的方式來處理符合其命名規范的代碼。例如,任何名稱以 get 開頭且具有 String、int、long 數據類型的參數或沒有參數的公共方法都可以通過這些方式被調用。這些命名規范與 Java 中的常見代碼命名方式非常類似,因此攻擊者通過精心設計的 URL 可以實現一定程度上的代碼執行攻擊。 

         

        Jenkins 官方發布此通告時,發現利用此漏洞可能會對 Jenkins 造成以下攻擊: 

        1. 使用內置的 Winstone-Jetty 服務器運行 Jenkins 時,未經身份驗證的

        用戶可以使所有會話無效。 

        2. 擁有 Overall/Read 權限的用戶可以在內存中創建新的用戶對象。 

        3. 擁有 Overall/Read 權限的用戶可以手動啟動通常只會定期運行的 Async

        PeriodicWork 實現。 

         

        同時官方聲明,有可能存在他們目前尚不了解的漏洞利用方式。 

        目前官方已通過服務提供接口(SPI)限制了 Stapler 可以反射調用 getter 方法、do * action 方法和那些可以被 Stapler 反射的字段。更多詳細信息可在

        開發者文檔中找到: 

        https://jenkins.io/doc/developer/handling-requests/stapler-accessible-type/ https://jenkins.io/doc/developer/handling-requests/actions/ https://jenkins.io/doc/developer/security/read-access/

         

         

        3.2 風險等級 

        風險評級為高危 

        預警等級:藍色預警(一般事件) 


        4章 影響范圍


        Jenkins weekly 2.153 及之前版本 

        Jenkins LTS 2.138.3 及之前版本 


        5章 處置建議


        更新 Jenkins weekly  2.154 版本 

        更新 Jenkins LTS  2.138.4 版本或 2.150.1 版本 

        除非另有說明,否則所有先前版本均被視為受這些漏洞影響。 

         

        需要注意的是,此次修復可能會影響某些插件的功能。最有可能的影響是某些 URL 請求后會返回 404 Not Found 。在極少數情況下,返回的可能不是 404 Not Found 但仍然與修復前不同。在 Jenkins wiki 中可跟蹤已知受影響的插件及其狀態。


        6章 參考資料


        [1] https://jenkins.io/security/advisory/2018-12-05/






      熱門評論
      • 暫無信息

      驗證碼: 驗證碼,看不清楚?請點擊刷新驗證碼

      地址:廣東省惠州市惠城區東平半島惠州大道20號賽格大廈1608號

      電話:0752-2072178  傳真:0752-2072168-0  郵箱:gdoudi@ouditech.com廣東歐迪科技有限公司 版權所有

      Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

      粵ICP備16018732號-1

      怀孕挺大肚子疯狂高潮AV毛片,全部孕妇毛片丰满孕妇孕交,中国孕妇XXXXXXXXX孕交