Jenkins公告多个插件的安全漏洞(2020.9.23)

2020-09-24 16:07:28
Jenkins官方9月23日公告多个插件存在的安全漏洞,这些漏洞可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。

【漏洞描述】

Jenkins官方923日公告多个插件存在的安全漏洞,这些漏洞可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。 

Jenkins提供软件开发的持续集成服务。它运行在Servlet容器中(例如Apache Tomcat)。它支持软件配置管理(SCM)工具(包括AccuRev SCMCVSSubversionGitPerforceClearcaseRTC),可以执行基于Apache AntApache Maven的项目,以及任意的Shell脚本和Windows批处理命令。

腾讯安全专家建议受影响的用户尽快升级存在漏洞的插件版本。

【漏洞列表】

漏洞编号

漏洞名称

漏洞等级

受影响的版本

修复版本

CVE-2020-2279

Script Security Plugin中的沙箱绕过漏洞

< 1.74

1.75

CVE-2020-2280

Warnings Plugin中的CSRF漏洞允许远程执行代码

< 5.0.1

5.0.2

CVE-2020-2281

Lockable Resources Plugin中的CSRF漏洞

< 2.8

2.9

CVE-2020-2282

Implied Labels Plugin缺少权限检查,可重新配置插件

< 0.6

0.7

CVE-2020-2283

Liquibase Runner Plugin中的存储型XSS漏洞

< 1.4.5

1.4.7

CVE-2020-2284

Liquibase Runner Plugin中的XXE(外部实体攻击)漏洞

< 1.4.5

1.4.7

CVE-2020-2285

Liquibase Runner Plugin中缺少权限检查,可以枚举凭据ID

<1.4.7

1.4.8

 

【腾讯安全网络空间测绘】

腾讯安全网络空间测绘结果显示,Jenkins套件在全球有广泛的应用,美国、中国、德国位居前三。国内主要分布在浙江、北京、上海、广东等省市。

 

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

 

【受影响的插件版本】

Implied Labels Plugin < 0.6

Liquibase Runner Plugin < 1.4.5

Liquibase Runner Plugin < 1.4.7

Lockable Resources Plugin < 2.8

Script Security Plugin < 1.74

Warnings Plugin < 5.0.1

 

【已修复的版本】

Implied Labels Plugin 更新至 0.7

Liquibase Runner Plugin 更新至 1.4.7

Liquibase Runner Plugin 更新至 1.4.8

Lockable Resources Plugin 更新至 2.9

Script Security Plugin 更新至 1.75

Warnings Plugin 更新至 5.0.2

 

【参考资料】

https://nvd.nist.gov/vuln/detail/CVE-2020-2285

http://www.openwall.com/lists/oss-security/2020/09/23/1

https://www.jenkins.io/security/advisory/2020-09-23/#SECURITY-2030

最新资讯