发布日期：2019-06-20
更新日期：2019-06-27

受影响系统：

Jenkins jenkins 2.171
Jenkins jenkins 2.170
Jenkins jenkins 2.169
Jenkins jenkins 2.168
Jenkins jenkins 2.167
Jenkins jenkins 2.166
Jenkins jenkins 2.165
Jenkins jenkins 2.164.1
Jenkins jenkins 2.164
Jenkins jenkins 2.163
Jenkins jenkins 2.162
Jenkins jenkins 2.161
Jenkins jenkins 2.160
Jenkins jenkins 2.159
Jenkins jenkins 2.158
Jenkins jenkins 2.157
Jenkins jenkins 2.156
Jenkins jenkins 2.155
Jenkins jenkins 2.154
Jenkins jenkins 2.153
Jenkins jenkins 2.150.2

不受影响系统：

Jenkins jenkins 2.172
Jenkins jenkins 2.164.2

描述：

---

BUGTRAQ  ID: 107901
CVE(CAN) ID: CVE-2019-1003049

Jenkins是 一种开源自动化服务器，使世界各地的开发人员能够可靠地构建，测试和部署他们的软件。
在Jenkins更新到2.150.2及更新版本或2.160及更新版本之前缓存其CLI身份验证的用户将在Jenkins 2.171及更早版本和Jenkins LTS 2.164.1及更早版本中保持身份验证，因为在这些版本中修复了CVE-2019-1003004发行版没有拒绝现有的基于远程处理的CLI身份验证缓存。
成功利用此问题可能允许攻击者获得未经授权的访问并执行未经授权的操作。这可能会导致其他攻击。

<*来源：CloudBees的Daniel Beck
  
  链接：https://jenkins.io/security/advisory/2019-04-10/
*>

建议：

---

厂商补丁：

Jenkins
-------
Jenkins已经为此发布了一个安全公告（SECURITY-1289）以及相应补丁:
SECURITY-1289：Jenkins Security Advisory 2019-04-10
链接：https://jenkins.io/security/advisory/2019-04-10/

补丁下载：

浏览次数：1358
严重程度：0（网友投票）