一、 概要

近期Jenkins官方發(fā)布了最新的安全公告，披露了一個遠程任意文件讀取漏洞（漏洞編號：CVE-2018-1999002），該漏洞可能導(dǎo)致服務(wù)器敏感文件被攻擊者獲取，從而對服務(wù)器造成進一步危害。

CVE-2018-1999002：Jenkins使用的Stapler Web框架中的任意文件讀取漏洞允許未經(jīng)身份驗證的用戶發(fā)送惡意的HTTP請求，可以獲取Jenkins具備權(quán)限的任何文件內(nèi)容。

參考鏈接：

https://jenkins.io/security/advisory/2018-07-18/

二、漏洞級別

漏洞級別：【重要】

（說明：漏洞級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

漏洞影響如下版本：

Jenkins weekly 2.132及之前版本

Jenkins LTS  2.121.1及之前版本

四、安全建議

目前廠商已發(fā)布最新版本修復(fù)了上述問題，建議受影響的租戶隨時關(guān)注廠商的下載頁面以獲取對應(yīng)的最新版本，官方對應(yīng)Jenkins weekly 2.134和Jenkins LTS 2.121.2，下載鏈接如下：

https://jenkins.io/download/

注意：修復(fù)漏洞前請將資料備份，并進行充分測試。