Jenkins | 插件多个安全漏洞通告
发布时间 2020-05-080x00 漏洞概述
产品 |
CVE ID |
类 型 |
漏洞等级 |
远程利用 |
影响范围 |
Jenkins插件 |
CVE-2020-2181 |
IPC |
中危 |
是 |
Amazon EC2 Plugin <= 1.50.1 Copy Artifact Plugin <= 1.43.1 Credentials Binding Plugin <= 1.22 CVS Plugin <= 2.15 SCM Filter Jervis Plugin <= 0.2.1 |
CVE-2020-2182 |
IPC |
中危 |
是 |
||
CVE-2020-2183 |
IA |
中危 |
是 |
||
CVE-2020-2184 |
CSRF |
中危 |
是 |
||
CVE-2020-2185 |
IVE |
低危 |
是 |
||
CVE-2020-2186 |
CSRF |
中危 |
是 |
||
CVE-2020-2187 |
IVE |
高危 |
是 |
||
CVE-2020-2188 |
IA |
低危 |
是 |
||
CVE-2020-2189 |
RCE |
中危 |
是 |
0x01 漏洞详情
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。
2020年5月6日,Jenkins官方发布安全公告修复插件中的9个漏洞,其中有5个插件受到影响。具体内容如下:
Credentials Binding 插件存在两个凭据泄露漏洞(CVE-2020-2181、CVE-2020-2182),攻击者可利用该漏洞获取敏感信息。
Copy Artifact 插件存在权限校验不当漏洞(CVE-2020-2183),该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
CVS 插件存在跨站请求伪造漏洞(CVE-2020-2184),该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
Amazon EC2 插件存在4 个漏洞(CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188)。CVE-2020-2185源于缺乏对SSH主机密钥的验证。攻击者可利用该漏洞实施中间人攻击。CVE-2020-2186源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。CVE-2020-2187源于程序没有验证SSL/TLS证书和主机名。攻击者可利用该漏洞实施中间人攻击。CVE-2020-2188源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
SCM Filter Jervis插件存在远程代码执行漏洞(CVE-2020-2189),该漏洞源于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容。
0x02 漏洞检测
建议相关用户尽快查看当前使用的插件版本,确认是否在受影响范围内,并及时升级至安全版本进行防护,操作步骤如下:
点击“Manage Jenkins”进入管理模块,选择“Manage Plugins”管理插件。
点击“installed”即可对当前已安装的插件版本进行查看。
0x03 处置建议
目前Jenkins官方已经针对此次漏洞发布了新的插件版本,请相关用户尽快升级受影响的插件至安全版本,操作步骤如下:
在插件管理界面选择需要升级的插件,点击“Download now and install after restart”进行更新操作。
0x04 相关新闻
https://www.openwall.com/lists/oss-security/2020/05/06/3
0x05 参考链接
https://www.jenkins.io/security/advisory/2020-05-06/
0x06 时间线
2020-05-06 Jenkins官方发布公告
2020-05-08 VSRC发布漏洞通告