RHEL 8：jenkins and jenkins-2-plugins (RHSA-2023:3622)

critical Nessus 插件 ID 194300

语言：

简介

远程 Red Hat 主机缺少一个或多个 RHEL jenkins / jenkins-2-plugins 安全更新。

描述

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2023:3622 公告中提及的多个漏洞影响。

- maven-shared-utils：通过命令行类进行的命令注入 (CVE-2022-29599)

- Jenkins 插件：Blue Ocean 插件中存在 CSRF 漏洞 (CVE-2022-30953)

- Jenkins 插件：Blue Ocean 插件中缺少权限检查 (CVE-2022-30954)

- json-smart：json-smart 中不受控制的资源消耗漏洞（资源耗尽）(CVE-2023-1370)

- jettison：JSONArray 中不受控制的递归 (CVE-2023-1436)

- springframework：利用无前缀的双重通配符模式执行安全旁路 (CVE-2023-20860)

- springframework：Spring Expression DoS 漏洞 (CVE-2023-20861)

- Jenkins：通过不安全的权限创建的临时文件参数 (CVE-2023-27903)

- Jenkins：由与代理相关的错误堆栈跟踪导致的信息泄露 (CVE-2023-27904)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2023:3622 中的指南更新 RHEL jenkins/jenkins-2-plugins 程序包。

另见

http://www.nessus.org/u?0696d715

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?83e5ee3c

https://bugzilla.redhat.com/show_bug.cgi?id=2066479

https://bugzilla.redhat.com/show_bug.cgi?id=2119646

https://bugzilla.redhat.com/show_bug.cgi?id=2119647

https://bugzilla.redhat.com/show_bug.cgi?id=2177632

https://bugzilla.redhat.com/show_bug.cgi?id=2177634

https://bugzilla.redhat.com/show_bug.cgi?id=2180528

https://bugzilla.redhat.com/show_bug.cgi?id=2180530

https://bugzilla.redhat.com/show_bug.cgi?id=2182788

https://bugzilla.redhat.com/show_bug.cgi?id=2188542

https://access.redhat.com/errata/RHSA-2023:3622

插件详情

严重性: Critical

ID: 194300

文件名: redhat-RHSA-2023-3622.nasl

版本: 1.2

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2024/4/28

最近更新时间: 2024/11/8

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus