Spring框架中发现了一个远程代码执行漏洞。

此漏洞被识别为cve - 2022 - 22965

春天早早就正式做出了反应提前声明

Jenkins核心和插件中的S必威国际有限公司pringShell

Jenk必威国际有限公司ins安全团队已经确认Spring漏洞没有影响Jenkins Core。没有影响,因为我们正在使用订书机它既不是Spring MVC,也不是Spring WebFlux。

对插件进行了分析,以确定其中一些插件是否在以一种危险的方式使用Spring。没有发现任何影响。

的依赖项包含危险库spring-security-web,该版本尚未更新为包含固定版本。

Spring Framework的存在还不足以使应用程序变得脆弱。

Jenkins基础设施中的Spring必威国际有限公司Shell

Jenk必威国际有限公司ins基础设施和安全团队已经证实,Spring漏洞没有影响Jenkins基础设施的任何部分。

以下应用程序是将Spring作为依赖项的Java应用程序:

如果发现其他漏洞,我们可能会决定禁用某些服务。您可以看到服务的状态状态页在status.jenkins.io必威国际有限公司

进一步的更新

如果有任何需要更正的地方,我们可能会更新这篇博客文章,在这种情况下,我们会在顶部明确指出。

关于作者
Wadeck Follonier

瓦德克是詹金斯的安保人员,领必威国际有限公司导安全团队改善詹金斯的安全状况。必威国际有限公司他喜欢提供既有用又易于使用的解决方案。

Damien DUPORTAL

达米安是必威国际有限公司詹金斯基础设施官和一个软件工程师在CloudBees担任现场可靠性工程师必威国际有限公司詹金斯基础设施项目.他不仅是一个10岁的Hudson/Jenkins用户,而且还是一个参与必威国际有限公司其中的开源公民UpdatecliAsciidoctorTraefik和许多其他人。

讨论