ГлавнаяБаза уязвимостей БДУ → BDU:2024-00750
8.3высокая

BDU:2024-00750 (CVE-2024-23897)

Уязвимость библиотеки args4j встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-01-30
Описание

Уязвимость библиотеки args4j встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Jenkins (от 2.0 до 2.442)Jenkins (до LTS 2.426.3)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к серверу;
- отключение функции синтаксического анализатора командной строки;
- отключение доступа к встроенному интерфейсу командной строки (CLI).

Использование рекомендаций производителя:
Для Jenkins:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
https://safe-surf.ru/upload/VULN-new/VULN.2024-01-26.1.pdfhttps://vuldb.com/?id.251997http://packetstormsecurity.com/files/176839/Jenkins-2.441-LTS-2.426.3-CVE-2024-23897-Scanner.htmlhttp://packetstormsecurity.com/files/176840/Jenkins-2.441-LTS-2.426.3-Arbitrary-File-Read.htmlhttps://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена