Jenkins官方安全公告,披露多个插件中的安全漏洞

2020-07-03 15:08:51
7月2日, Jenkins官方发布安全公告,修复了插件中的19个漏洞,其中1个高危,2个低危,16个中危级别,受影响的插件15个。其中高危漏洞CVE-2020-2211影响ElasticBox Jenkins Kubernetes CI / CD插件1.3及更早版本,会导致远程代码执行(RCE)。

7月2日, Jenkins官方发布安全公告,修复了插件中的19个漏洞,其中1个高危,2个低危,16个中危级别,受影响的插件15个。其中高危漏洞CVE-2020-2211影响ElasticBox Jenkins Kubernetes CI / CD插件1.3及更早版本,会导致远程代码执行(RCE)。

Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件,是开发过程中常用的产品,有5万多Jenkins服务开放在公网。为保证Jenkins服务器的安全,腾讯安全建议相关用户将受影响的Jenkins插件升级至安全版本。 

【影响范围】
受影响的插件版本列表如下:

CVE编号

插件及版本

CVE-2020-2217

Compatibility Action Storage Plugin < = 1.0

CVE-2020-2211

ElasticBox Jenkins Kubernetes CI/CD Plugin < = 1.3

CVE-2020-2202

Fortify on Demand Plugin < = 6.0.0

CVE-2020-2212

GitHub Coverage Reporter Plugin < = 1.8

CVE-2020-2218

HP ALM Quality Center Plugin < = 1.6

CVE-2020-2219

Link Column Plugin < = 1.0

CVE-2020-2208

Slack Upload Plugin < = 1.7

CVE-2020-2201

Sonargraph Integration Plugin < = 3.0.0

CVE-2020-2210

Stash Branch Parameter Plugin < = 0.3.0

CVE-2020-2209

TestComplete support Plugin < = 2.4.1

CVE-2020-2205/06

VncRecorder Plugin < = 1.25

CVE-2020-2207

VncViewer Plugin < = 1.7

CVE-2020-2213

White Source Plugin < = 19.1.1

CVE-2020-2214

ZAP Pipeline Plugin < = 1.9

CVE-2020-2215

Zephyr for JIRA Test Management Plugin < = 1.5 


【漏洞检测】
推荐用户通过查看当前使用的插件版本,对服务是否受此次漏洞影响进行排查。
点击“Manage Jenkins”进入管理模块,选择“Manage Plugins”管理插件。点击“installed”即可对当前已安装的插件版本进行查看。
如果当前的插件版本在受影响范围内,则可能存在安全风险,请尽快采取防护措施。 

【漏洞修复】
Jenkins官方已经针对此次的漏洞发布了新的插件版本,请相关用户尽快升级受影响的插件至安全版本进行防护,操作步骤如下: 
点击“Manage Jenkins”->“Manage Plugins”,进入插件管理界面。选择需要升级的插件,点击“Download now and install after restart”进行更新操作。

【参考链接】
https://www.openwall.com/lists/oss-security/2020/07/02/7 
https://www.jenkins.io/security/advisory/2020-07-02/


最新资讯