CH azonosító
CH-14183Angol cím
Jenkins Security AdvisoryFelfedezés dátuma
2017.08.06.Súlyosság
MagasÉrintett rendszerek
JenkinsÉrintett verziók
Blue Ocean 1.1.5, 1.2.0 beta, 1.2.0-beta-3
Config File Provider Plugin 2.16.1
Datadog Plugin 0.5.6
Deploy to container Plugin 1.12
DRY Plugin 2.48
OWASP Dependency-Check Plugin 2.0.1.1
Pipeline: Groovy Plugin 2.38
Pipeline: Input Step Plugin 2.7
Script Security Plugin 1.30
Static Analysis Utilities Plugin 1.91
Összefoglaló
A Jenkins több magas és közepes kockázati besorolású sérülékenysége vált ismertté, amelyek távoli kódfuttatást és információszivárgást tesznek lehetővé. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A biztonsági frissítés magas kockázati besorolású sérülékenységet javít, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren, illetve információszivárgást érhet el. Az alábbi Jenkins bővítményekben javították a sérülékenységeket:
- Blue Ocean
- Config File Provider Plugin
- Datadog Plugin
- Deploy to container Plugin
- DRY Plugin
- OWASP Dependency-Check Plugin
- Pipeline: Groovy Plugin
- Pipeline: Input Step Plugin
- Script Security Plugin
- Static Analysis Utilities Plugin
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Physical/Console (Fizikai/konzol)
Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: jenkins.io
Egyéb referencia: www.heise.de