Jenkins插件安全漏洞安全通告
发布时间 2019-09-03•漏洞编号和级别
CVE编号:CVE-2019-10350,危险级别:高危,CVSS分值:8.8
CVE编号:CVE-2019-10351,危险级别:高危,CVSS分值:8.8
CVE编号:CVE-2019-10378,危险级别:中危,CVSS分值:5.3
CVE编号:CVE-2019-10385,危险级别:中危,CVSS分值:6.5
•影响版本
受影响的版本
•漏洞概述
Jenkins是一种广泛使用的开源自动化服务器,允许DevOps开发人员高效、可靠地构建,测试和部署软件。为了充分利用Jenkins的模块化架构,开发人员利用插件来扩展其核心功能,允许他们扩展构建步骤的脚本功能。Jenkins的插件索引中有超过1,600个社区贡献的插件。其中一些插件存储未加密的纯文本凭据。如果发生数据泄露,网络犯罪分子可以在组织未知情的情况下访问这些数据。利用影响Jenkins插件的漏洞来窃取敏感用户凭据,当具有扩展读取权限或访问主文件系统的用户的凭据泄露时,攻击者也可以访问其他集成服务,特别是如果用户对不同的平台或服务使用相同的密码时。
CVE-2019-10348
Gogs Plugin是使用在Jenkins的一个将Gogs(自托管Git服务)集成到Jenkins中的插件。Jenkins中的Gogs插件存在安全漏洞,该漏洞源于程序将凭证存储为明文形式。攻击者可利用该漏洞查看凭证。
CVE-2019-10350
Port Allocator Plugin是使用在Jenkins的一个TCP端口分配管理插件。Jenkins中的Port Allocator插件存在安全漏洞,该漏洞源于程序将凭证存储为明文形式。攻击者可利用该漏洞查看凭证。
CVE-2019-10351
Caliper CI Plugin是使用在Jenkins的一个Caliper CI插件。Jenkins Caliper CI Plugin中存在安全漏洞,该漏洞源于程序将凭证存储为明文形式。攻击者可利用该漏洞查看凭证。
CVE-2019-10378
Jenkins中的TestLink Plugin 3.16及之前版本存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
CVE-2019-10385
Jenkins eggPlant Plugin 2.2及之前版本中存在信息泄露漏洞,该漏洞源于程序凭证存储为明文形式。攻击者可利用该漏洞查看凭证。
•漏洞验证
暂无POC/EXP。
•修复建议
CVE-2019-10348
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://jenkins.io/security/advisory/2019-07-11/。
其它几个漏洞目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://jenkins.io/。
•参考链接
京公网安备11010802024551号