Jenkins biztonsági frissítések

CH azonosító

CH-14183

Angol cím

Jenkins Security Advisory

Felfedezés dátuma

2017.08.06.

Súlyosság

Magas

Érintett rendszerek

Jenkins

Érintett verziók

Blue Ocean 1.1.5, 1.2.0 beta, 1.2.0-beta-3
Config File Provider Plugin 2.16.1
Datadog Plugin 0.5.6
Deploy to container Plugin 1.12
DRY Plugin 2.48
OWASP Dependency-Check Plugin 2.0.1.1
Pipeline: Groovy Plugin 2.38
Pipeline: Input Step Plugin 2.7
Script Security Plugin 1.30
Static Analysis Utilities Plugin 1.91

Összefoglaló

A Jenkins több magas és közepes kockázati besorolású sérülékenysége vált ismertté, amelyek távoli kódfuttatást és információszivárgást tesznek lehetővé. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági frissítés magas kockázati besorolású sérülékenységet javít, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren, illetve információszivárgást érhet el. Az alábbi Jenkins bővítményekben javították a sérülékenységeket:

  • Blue Ocean
  • Config File Provider Plugin
  • Datadog Plugin
  • Deploy to container Plugin
  • DRY Plugin
  • OWASP Dependency-Check Plugin
  • Pipeline: Groovy Plugin
  • Pipeline: Input Step Plugin
  • Script Security Plugin
  • Static Analysis Utilities Plugin

 

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »