近日,Jenkins发布安全公告,称插件Script Security、Pipeline: Groovy和Pipeline: Declarativ 存在沙箱绕过漏洞,CVE编号分别为:CVE-2019-1003000、CVE-2019-1003001和CVE-2019-1003002。利用该漏洞,攻击者可不经身份认证实现远程代码执行。
漏洞的综合评级为“高危”
Jenkins是一款由Java编写的开源的持续集成工具,提供了软件开发的持续集成服务。
攻击者利用漏洞,可在不经身份认证的情况下,绕过沙箱保护,在 Jenkins 主服务器上实现远程执行任意代码。
影响版本
安全建议
1.更新插件至已修复版本:
2. 沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换;沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换;
3. 使用第三方防火墙进行防护(如创宇盾);
4. 进行专业技术业务咨询。知道创宇技术业务咨询热线如下:
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
在 4 月 5 日的活动中,微软宣布了适用于 Windows 11 系统的新安全功能,从而在操作系统层面提供网络钓鱼保护。通过 Microsoft Defender SmartScreen,微软提供网络钓鱼的检测和保护,保护 Windows 11 设备免受恶意程序侵害。
获取安全动态