【安全通报】Jenkins Jetty组件漏洞风险通告（CVE-2019-17638）

Jenkins 2.224-2.242 和 LTS 2.222.1-2.235.4 中自带的Jetty存在安全漏洞，攻击者可以在未登陆的状态下访问到其他用户的敏感信息。

Jenkins 是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。

CVE 编号

CVE-2019-17638

影响范围

• Jenkins < 2.242
• Jenkins LTS < 2.235.4

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Jenkins"）共有 195,399 个相关服务对外开放。美国使用数量最多，共有 70,963个；中国第二，共有 51,354 个；德国第三，共有 13,047 个；爱尔兰第四，共有 6,592个；印度第五，共有 6,103 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 11,431 个；北京第二，共有 10,646 个；广东第三，共有 1,647个，上海第四，共有 726 个；江苏第五，共有 462 个。

漏洞环境——Vulfocus

目前 Vulfocus 已经集成 jenkins相关的漏洞环境，可通过 docker pull vulfocus/jenkins_2018_1000861 进行拉取运行，可也通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

1. 目前官方已发布漏洞修复版本，建议用户将Jenkins、Jenkins LTS升级到安全版本。

参考

[1] https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。