Jenkins biztonsági frissítések

CH azonosító

CH-14183

Angol cím

Jenkins Security Advisory

Felfedezés dátuma

2017.08.06.

Súlyosság

Magas

Érintett rendszerek

Jenkins

Érintett verziók

Blue Ocean 1.1.5, 1.2.0 beta, 1.2.0-beta-3
Config File Provider Plugin 2.16.1
Datadog Plugin 0.5.6
Deploy to container Plugin 1.12
DRY Plugin 2.48
OWASP Dependency-Check Plugin 2.0.1.1
Pipeline: Groovy Plugin 2.38
Pipeline: Input Step Plugin 2.7
Script Security Plugin 1.30
Static Analysis Utilities Plugin 1.91

Összefoglaló

A Jenkins több magas és közepes kockázati besorolású sérülékenysége vált ismertté, amelyek távoli kódfuttatást és információszivárgást tesznek lehetővé. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági frissítés magas kockázati besorolású sérülékenységet javít, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren, illetve információszivárgást érhet el. Az alábbi Jenkins bővítményekben javították a sérülékenységeket:

  • Blue Ocean
  • Config File Provider Plugin
  • Datadog Plugin
  • Deploy to container Plugin
  • DRY Plugin
  • OWASP Dependency-Check Plugin
  • Pipeline: Groovy Plugin
  • Pipeline: Input Step Plugin
  • Script Security Plugin
  • Static Analysis Utilities Plugin

 

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2023-38823 – Tenda AC routerek sérülékenysége
cve-2023-36439 – Microsoft Exchange szerver sérülékenysége
CVE-2023-23368 – QNAP QTS sérülékenysége
CVE-2023-22518 – Confluence Data Center és Server sérülékenysége
CVE-2023-20273 – Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége
CVE-2023-20198 – Cisco IOS XE Web UI sérülékenysége
CVE-2023-4966 – NetScaler ADC és NetScaler Gateway sérülékenysége
CVE-2023-20101 – Cisco Emergency Responder 12.5(1)SU4 sérülékenysége
CVE-2023-22515 – Atlassian Confluence Data Center és Server sérülékenysége
CVE-2023-42793 – JetBrains TeamCity sérülékenysége
Tovább a sérülékenységekhez »