Jenkins反序列化远程代码执行漏洞（CVE-2015-8103）

Jenkins反序列化远程代码执行漏洞（CVE-2015-8103）

Jenkins反序列化远程代码执行漏洞（CVE-2015-8103）

发布日期：2015-11-18
更新日期：2015-11-19

受影响系统：

Jenkins jenkins 〈= LTS 1.625.1
Jenkins jenkins 〈= 1.637

不受影响系统：

Jenkins jenkins 1.638
Jenkins jenkins 1.625.2

描述：

---

BUGTRAQ  ID: 77636
CVE(CAN) ID: CVE-2015-8103

Jenkins是一个可扩展的开源持续集成服务器。

Jenkins 1.637及之前版本、Jenkins LTS 1.625.1及之前版本，存在不安全的反序列化漏洞，可使未经身份验证的远程攻击者在Jenkins主机上运行任意代码。

<*来源：Gabriel Lawrence
        Chris Frohoff
  *>

建议：

---

厂商补丁：

Jenkins
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11

https://jenkins-ci.org/content/mitigating-unauthenticated-remote-code-execution-0-day-jenkins-cli

参考：
http://lwn.net/Articles/664844/
http://seclists.org/oss-sec/

本文永久更新链接地址：