Jenkins插件远程代码执行漏洞安全通告
发布时间 2019-02-22漏洞编号和级别
CVE编号:CVE-2019-1003000,危险级别:高危,CVSS分值:8.8
CVE编号:CVE-2019-1003001,危险级别:高危,CVSS分值:8.8
CVE编号:CVE-2019-1003002,危险级别:高危,CVSS分值:8.8
影响范围
受影响版本:
Pipeline: Declarative Plugin 1.3.4及之前版本
Pipeline: Groovy Plugin 2.61及之前版本
Script Security Plugin 1.49及之前版本
漏洞概述
CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,该工具主要用于监控秩序重复的工作。
2019年1月8日,Jenkins发布安全公告,此次的安全公告更新修复了Jenkins的Script Security以及Pipeline Plugins等插件的sandbox bypass远程代码执行漏洞。漏洞编号分别为CVE-2019-1003000(Script Security)、CVE-2019-1003001 (Pipeline: Groovy)、CVE-2019-1003002 (Pipeline: Declarative)。
CVE-2019-1003000
Script Security是其中的一个用于检测脚本安全性的插件。
CloudBees Script Security Plugin 2.49及之前版本中的 src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.jav文件存在安全漏洞。攻击者可利用该漏洞在Jenkins master JVM上执行任意代码。
CVE-2019-1003001
Pipeline:Groovy Plugin是其中的一个基于Java开发的持续集成工具中的流程构建插件。
CloudBees Pipeline: Groovy Plugin 2.61及之前版本中存在安全漏洞。攻击者可借助pipeline脚本利用该漏洞绕过沙盒保护,在Jenkins master JVM上执行任意代码。
CVE-2019-1003002
Pipeline:Declarative Plugin是使用在其中的一个指令生成器插件。
CloudBees Pipeline: Declarative Plugin 1.3.3及之前版本中的pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy文件存在安全漏洞。攻击者可借助pipeline脚本利用该漏洞绕过沙盒保护,在Jenkins master JVM上执行任意代码。
修复建议
将Jenkins的plugins升级至其修复版本:
1. 将Declarative Plugin更新至1.3.4.1版:https://plugins.jenkins.io/pipeline-model-definition
2. 将Groovy Plugin 更新至2.61.1版:https://plugins.jenkins.io/workflow-cps
3. 将Security Plugin更新至1.50版:https://plugins.jenkins.io/script-security
参考链接
https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266
京公网安备11010802024551号