2020年2月13日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到Jenkins官方發(fā)布了最新安全公告�����,涉及21個(gè)Jenkins plugin的安全漏洞,建議受影響的用戶盡快進(jìn)行升級(jí)��、修復(fù)工作��,避免損失�。
漏洞編號(hào):
CVE-2020-2109,CVE-2020-2110����,CVE-2020-2111,CVE-2020-2112����,CVE-2020-2113,CVE-2020-2114�,CVE-2020-2115,CVE-2020-2116�,CVE-2020-2118,CVE-2020-2119��,CVE-2020-2120���,CVE-2020-2121�,CVE-2020-2122,CVE-2020-2123���,CVE-2020-2124�,CVE-2020-2125�,CVE-2020-2126,CVE-2020-2127�����,CVE-2020-2128�����,CVE-2020-2129���,CVE-2020-2130,CVE-2020-2131�����,CVE-2020-2132�����,CVE-2020-2133
漏洞名稱:
Jenkins plugin多個(gè)安全漏洞
漏洞危害等級(jí):
高危
漏洞描述:
Jenkins官網(wǎng)發(fā)布了最新的安全公告,涉及21個(gè)Jenkins plugin的漏洞����。漏洞類型包含遠(yuǎn)程代碼執(zhí)行,權(quán)限繞過����,XML外部實(shí)體注入攻擊(XXE),跨站腳本攻擊(XSS)����,明文存儲(chǔ)密碼等,影響范圍較廣����。
影響版本:
Applatix Plugin ≦ 1.1
Azure AD Plugin ≦ 1.1.2
BMC Release Package and Deployment Plugin ≦ 1.1
Brakeman Plugin ≦ 0.12
Debian Package Builder Plugin ≦ 1.6.11
DigitalOcean Plugin ≦ 1.1
Dynamic Extended Choice Parameter Plugin ≦ 1.0.1
Eagle Tester Plugin ≦ 1.0.9
ECX Copy Data Management Plugin ≦ 1.9
FitNesse Plugin ≦ 1.30
Git Parameter Plugin ≦ 0.9.11
Google Kubernetes Engine Plugin ≦ 0.8.0
Harvest SCM Plugin ≦ 0.5.1
NUnit Plugin ≦ 0.25
Parasoft Environment Manager Plugin ≦ 2.14
Pipeline GitHub Notify Step Plugin ≦ 1.0.4
Pipeline: Groovy Plugin ≦ 2.78
RadarGun Plugin ≦ 1.7
S3 publisher Plugin ≦ 0.11.4
Script Security Plugin ≦ 1.69
Subversion Plugin ≦ 2.13.0
修復(fù)方案:
1.升級(jí)以下Plugin:
Azure AD Plugin 升級(jí)到 version 1.2.0
Brakeman Plugin 升級(jí)到 version 0.13
FitNesse Plugin 升級(jí)到 version 1.31
Git Parameter Plugin 升級(jí)到 version 0.9.12
Google Kubernetes Engine Plugin 升級(jí)到 version 0.8.1
NUnit Plugin 升級(jí)到 version 0.26
Pipeline GitHub Notify Step Plugin 升級(jí)到 version 1.0.5
Pipeline: Groovy Plugin 升級(jí)到 version 2.79
RadarGun Plugin 升級(jí)到 version 1.8
S3 publisher Plugin 升級(jí)到 version 0.11.5
Script Security Plugin 升級(jí)到 version 1.70
Subversion Plugin 升級(jí)到 version 2.13.1
2、下列Plugin�����,Jenkins官方尚未修復(fù)��,請(qǐng)及時(shí)關(guān)注:
Applatix Plugin
BMC Release Package and Deployment Plugin
Debian Package Builder Plugin
DigitalOcean Plugin
Dynamic Extended Choice Parameter Plugin
Eagle Tester Plugin
ECX Copy Data Management Plugin
Harvest SCM Plugin
Parasoft Environment Manager Plugin
參考鏈接:
https://jenkins.io/security/advisory/2020-02-12/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/02/13