Spring框架中发现了一个远程代码执行漏洞。
此漏洞被识别为cve - 2022 - 22965.
春天早早就正式做出了反应提前声明.
Jenkins核心和插件中的S必威国际有限公司pringShell
Jenk必威国际有限公司ins安全团队已经确认Spring漏洞没有影响Jenkins Core。没有影响,因为我们正在使用订书机它既不是Spring MVC,也不是Spring WebFlux。
对插件进行了分析,以确定其中一些插件是否在以一种危险的方式使用Spring。没有发现任何影响。
|
的依赖项包含危险库spring-security-web,该版本尚未更新为包含固定版本。 Spring Framework的存在还不足以使应用程序变得脆弱。 |
Jenkins基础设施中的Spring必威国际有限公司Shell
Jenk必威国际有限公司ins基础设施和安全团队已经证实,Spring漏洞没有影响Jenkins基础设施的任何部分。
以下应用程序是将Spring作为依赖项的Java应用程序:
web服务customize.必威国际有限公司jenkins.io被叫停是出于谨慎考虑。
web服务的APIplugins.必威国际有限公司jenkins.io不受影响,因为它运行在JDK 8和GlassFish servlet。
web服务accounts.必威国际有限公司jenkins.io不受影响,因为它也运行在JDK 8和使用订书机为一个servlet。
|
如果发现其他漏洞,我们可能会决定禁用某些服务。您可以看到服务的状态状态页在status.jenkins.io必威国际有限公司. |
|
Wadeck Follonier
瓦德克是詹金斯的安保人员,领必威国际有限公司导安全团队改善詹金斯的安全状况。必威国际有限公司他喜欢提供既有用又易于使用的解决方案。 |
|
Damien DUPORTAL
达米安是必威国际有限公司詹金斯基础设施官和一个软件工程师在CloudBees担任现场可靠性工程师必威国际有限公司詹金斯基础设施项目.他不仅是一个10岁的Hudson/Jenkins用户,而且还是一个参与必威国际有限公司其中的开源公民Updatecli,Asciidoctor,Traefik和许多其他人。 |
|
马克·韦特
马克是必威国际有限公司詹金斯文档官是Jenkins的长期用户和必威国际有限公司贡献者,并维护git插件和git客户端插件.他活跃于必威国际有限公司詹金斯特殊利益集团包括医生团体,平台团体,倡导团体. |