首页 > 清静研究 > 清静转达 > 清静通告

Jenkins Plugins 多个清静误差危害通告

宣布时间 2020-03-11

误差编号和级别

CVE编号：CVE-2020-2159，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2138，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2144，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2158，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2134，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2135，危险级别：高危，CVSS分值：官方未评定

影响版本

CryptoMove Plugin 0.1.33和更早版本

Cobertura Plugin 1.15和更早版本

Rundeck Plugin 3.6.6和更早版本

Literate Plugin 1.0和更早的版本

Script Security Plugin 1.70和更早版本

误差概述

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的一连集成工具。该产品主要用于监控一连的软件版本宣布/测试项目和一些准时执行的使命。

克日，Jenkins宣布官方清静通告，Jenkins部分插件保存多个误差，其中高危误差概述如下：

CVE-2020-2159 CryptoMove Plugin 下令注入

CryptoMove插件0.1.33和更早版本允许将OS下令的设置作为其构建办法设置的一部分执行。

该下令将作为运行Jenkins的OS用户帐户在Jenkins主服务器上执行，从而允许具有Job/Configure权限的用户在Jenkins主服务器上执行恣意OS下令。

阻止本通告宣布之时，尚无修复程序。

CVE-2020-2138 Cobertura Plugin XXE

Cobertura插件1.15和更早版本没有设置其XML剖析器来避免XML外部实体（XXE）攻击。

这使用户能够控制“宣布Cobertura笼罩率报告”构建后办法的输入文件，以让Jenkins剖析制作的文件，该文件使用外部实体从Jenkins主服务器或服务器端请求伪造中提取神秘。

Cobertura插件1.16为其XML剖析器禁用了外部实体剖析。

CVE-2020-2144 Rundeck Plugin XXE

Rundeck插件3.6.6和更早版本没有设置其XML剖析器来避免XML外部实体（XXE）攻击。

这允许具有“总体/读取”会见权限的用户让Jenkins使用XML数据剖析经由全心设计的HTTP请求，该XML请求使用外部实体从Jenkins主服务器或服务器端请求伪造中提取神秘。

Rundeck插件3.6.7为其XML剖析器禁用了外部实体剖析。

CVE-2020-2158 Literate Plugin 远程代码执行

Literate Plugin 1.0和更早的版本没有设置其YAML剖析器来避免实例化恣意类型。

这导致远程代码执行误差，用户可以使用该误差向Literate Plugin的构建办法提供YAML输入文件。

阻止本通告宣布之日，尚无修复程序。

CVE-2020-2134, CVE-2020-2135 Script Security Plugin 沙盒绕过

可以通过以下方法来规避Script Security Plugin 1.70和更早版本中的沙盒�；ぃ�

全心结构的结构函数挪用和主体（由于SECURITY-582的不完整修复）

全心设计的要领挪用实现GroovyInterceptable的工具

这使攻击者能够在Jenkins主JVM的上下文中指定并运行沙盒脚原来执行恣意代码。

Script Security Plugin 1.71具有其他限制和健全性检查，以确保在没有被沙箱阻挡的情形下无法结构超等结构函数。别的，它还阻挡对实现GroovyInterceptable的工具的要领挪用，作为对GroovyObject＃invokeMethod（String，Object）的挪用，该工具是列入黑名单的要领。

误差验证

暂无PoC/EXP。

修复建议

现在部分插件已更新，获取链接：https://jenkins.io/security/advisory/2020-03-09/。请实时更新插件到如下版本：

CryptoMove Plugin 暂无补丁

Literate Plugin 暂无补丁

Cobertura Plugin 升级到 1.16版本

Rundeck Plugin 升级到 3.6.7版本

Script Security Plugin 升级到 1.71版本

参考链接

https://jenkins.io/security/advisory/2020-03-09/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Jenkins Plugins 多个清静误差危害通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线