Jenkins是一个应用广泛的持续集成工具，由于其通常作为内部工具的特性，使大家容易忽视它的安全性，但通常Jenkins会拥有较多系统执行操作，一旦遭到入侵，将直接威胁到服务器；

       Java反序列化漏洞是近期开始逐渐流行的高危漏洞，主要存在于使用了Apache Commons Collections等库的应用中，存在该漏洞的应用可遭到恶意攻击者的远程命令执行。

近一个月内集团已经发现2例Jenkins相关高危漏洞，均可执行服务器命令，因此，安全小组针对Jenkins和Java反序列化漏洞发出高危预警：

1、 jenkins

a)     请各业务线负责人/安全接口人确认负责业务线是否使用了Jenkins

b)     所有使用了Jenkins服务的业务线请确认版本号是否小于1.650，符合条件的版本均存在远程代码执行漏洞，请及时到官网下载应用漏洞补丁或进行应用升级

c)      所有Jenkins服务请严格设置权限，严禁外网访问，严禁空口令/弱口令

2、 Java反序列化漏洞

a)     使用以下库的JAVA项目均有可能存在Java反序列化漏洞

1.      commons-beanutils:1.9.2

2.      commons-collections:3.1

3.      commons-logging:1.2

4.      commons-collections:3.1

5.      commons-collections:4.0

6.      groovy:2.3.9

7.      spring-core:4.1.4.RELEASE

8.      spring-beans:4.1.4.RELEASE

9.      JRE<= 1.7u21

b)     使用了以下第三方应用且非最新版本的，均可能存在Java反序列化漏洞

1.      WebSphere

2.      WebLogic

3.      Jenkins

4.      JBoss

5.      OpenNMS

c)      该漏洞危害性极大，一旦存在漏洞，即可获得服务器命令执行权限，获取大量程序源码及数据信息，严重者可得到整个业务线数据并危及其他业务线，请各业务线安全接口人认真排查所负责业务线是否存在漏洞风险，并及时通知安全小组协助进行漏洞检测。

3、 其他需要注意的地方

a)     rsync、nagios、svn、ftp、Jenkins、zabbix、zenoss、resin、memcache、JBoss、交换机、路由器等应用/设备，必须做好严格的权限控制与防火墙规则，严禁使用弱口令！

b)     上周安全小组发送给大家的《集团业务信息采集表》，要求在4月15号前填写完成并发送给安全小组，希望各业务线安全接口人配合整理并在规定时间之前通过邮件发送给安全小组。

c)      安全小组已对集团132个具有解析记录的一级域名，2345个二级域名进行整理入库，请各位安全接口人于下周五之前登录  http://ops.100tal.com/admin/domain/found   进行域名认领。

安全小组