Jenkins開發人員最近修復了多個漏洞，包括一個能被遠程攻擊者執行任意代碼的嚴重漏洞。
Jenkins修復遠程代碼執行漏洞
Jenkins是一款最流行的開源自動化服務器，全球的下載量超過13.3萬次，用戶超過100萬。這款產品由CloudBees和Jenkins社區維護，旨在幫助開發人員構建、測試并部署軟件。
一名獨立安全研究員最近通過Beyond Security的SecuriTeam安全披露計劃指出，Jenkins遭受一個跟Java反序列化相關的嚴重漏洞影響。專家指出，這個缺陷能讓未經驗證的攻擊者通過將兩個特別編制的請求發送給易受攻擊的服務器執行任意代碼。該漏洞編號為CVE-2017-1000353，于本月初發布。

Jenkins開發人員在4月末發布的一份安全公告中指出，這個嚴重漏洞“能讓攻擊者將一個序列化Java SignedObject對象轉移到遠程Jenkins CLI。CLI會通過一個新的ObjectInputStream進行反序列化，繞過現存的黑名單防護機制”。
Jenkins 2.57和2.46.2 (LTS) 版本的發布修復了這個漏洞，同時解決了多個其它類型的缺陷，包括多個高危CSRF漏洞等。開發人員表示這些漏洞能被用于重啟服務器、降級Jenkins、安裝插件、更改用戶的API口令、更改配置并創建管理員賬戶。另外的一個安全弱點CVE-2017-1000354能讓攻擊者偽裝成Jenkins用戶，它跟 “login” 命令相關，會將成功驗證用戶的加密用戶名存儲在一個緩存文件中。
這次更新還解決了跟XStream庫相關的一個中危問題。XStream庫是第三方組件，Jenkins用于序列化和反序列化XML，它受到一個可導致Java進程崩潰的漏洞影響