Jenkins Plugins 多个安全漏洞风险通告
发布时间 2020-03-11漏洞编号和级别
CVE编号:CVE-2020-2159,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2138,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2144,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2158,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2134,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2135,危险级别:高危,CVSS分值:官方未评定
影响版本
CryptoMove Plugin 0.1.33和更早版本
Cobertura Plugin 1.15和更早版本
Rundeck Plugin 3.6.6和更早版本
Literate Plugin 1.0和更早的版本
Script Security Plugin 1.70和更早版本
漏洞概述
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。
近日,Jenkins发布官方安全通告,Jenkins部分插件存在多个漏洞,其中高危漏洞概述如下:
CVE-2020-2159 CryptoMove Plugin 命令注入
CryptoMove插件0.1.33和更早版本允许将OS命令的配置作为其构建步骤配置的一部分执行。
该命令将作为运行Jenkins的OS用户帐户在Jenkins主服务器上执行,从而允许具有Job/Configure权限的用户在Jenkins主服务器上执行任意OS命令。
截至本公告发布之时,尚无修复程序。
CVE-2020-2138 Cobertura Plugin XXE
Cobertura插件1.15和更早版本没有配置其XML解析器来防止XML外部实体(XXE)攻击。
这使用户能够控制“发布Cobertura覆盖率报告”构建后步骤的输入文件,以让Jenkins解析制作的文件,该文件使用外部实体从Jenkins主服务器或服务器端请求伪造中提取秘密。
Cobertura插件1.16为其XML解析器禁用了外部实体解析。
CVE-2020-2144 Rundeck Plugin XXE
Rundeck插件3.6.6和更早版本没有配置其XML解析器来防止XML外部实体(XXE)攻击。
这允许具有“总体/读取”访问权限的用户让Jenkins使用XML数据解析经过精心设计的HTTP请求,该XML请求使用外部实体从Jenkins主服务器或服务器端请求伪造中提取机密。
Rundeck插件3.6.7为其XML解析器禁用了外部实体解析。
CVE-2020-2158 Literate Plugin 远程代码执行
Literate Plugin 1.0和更早的版本没有配置其YAML解析器来防止实例化任意类型。
这导致远程代码执行漏洞,用户可以利用该漏洞向Literate Plugin的构建步骤提供YAML输入文件。
截至本公告发布之日,尚无修复程序。
CVE-2020-2134, CVE-2020-2135 Script Security Plugin 沙盒绕过
可以通过以下方式来规避Script Security Plugin 1.70和更早版本中的沙盒保护:
精心构造的构造函数调用和主体(由于SECURITY-582的不完整修复)
精心设计的方法调用实现GroovyInterceptable的对象
这使攻击者能够在Jenkins主JVM的上下文中指定并运行沙盒脚本来执行任意代码。
Script Security Plugin 1.71具有其他限制和健全性检查,以确保在没有被沙箱拦截的情况下无法构造超级构造函数。此外,它还拦截对实现GroovyInterceptable的对象的方法调用,作为对GroovyObject#invokeMethod(String,Object)的调用,该对象是列入黑名单的方法。
漏洞验证
暂无PoC/EXP。
修复建议
目前部分插件已更新,获取链接:https://jenkins.io/security/advisory/2020-03-09/。请及时更新插件到如下版本:
CryptoMove Plugin 暂无补丁
Literate Plugin 暂无补丁
Cobertura Plugin 升级到 1.16版本
Rundeck Plugin 升级到 3.6.7版本
Script Security Plugin 升级到 1.71版本
参考链接
https://jenkins.io/security/advisory/2020-03-09/
京公网安备11010802024551号