检测

Jenkins 插件多个漏洞 (2024-05-02)

high Nessus 插件 ID 194914

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - 高危脚本安全插件提供沙盒功能,允许低权限用户定义通常可安全执行的脚本,包括 Pipeline。拦截对沙盒脚本内定义的代码的调用,并检查各种许可名单以确定是否允许调用。
 脚本安全插件 1335.vf07d9ce377a_e 和更早版本中存在多个沙盒绕过漏洞:
 构建的构造函数正文(调用其他构造函数)可用于通过隐式转换构造任何可子类化的类型。遮蔽特定非沙盒定义类的沙盒定义 Groovy 类可用于构造任何可子类化的类型。这些漏洞允许具有定义和运行沙盒脚本(包括 Pipeline)权限的攻击者绕过沙盒保护并在 Jenkins 控制器 JVM 的上下文中执行任意代码。这些问题因针对 SECURITY-2824 的修复不完整而引起。我们为脚本安全插件 1336.vf33a_a_9863911 设置额外限制和健全性检查,可确保构建超级构造函数不会遭到沙盒拦截:使用此插件调用其他构造函数现在会被沙盒拦截。在拦截超级构造函数调用时,程序包中可被 Groovy 定义的类遮蔽的类不再被沙盒忽略。(CVE-2024-34144、CVE-2024-34145)

 - 中危 Git 服务器插件 114.v068a_c7cc2574 和更早版本不会对是否可以通过 SSH 读取 Git 存储库执行权限检查。先前配置了 SSH 公钥但缺少 Overall/Read 权限的攻击者可利用此缺陷来访问 Git 存储库。Git 服务器插件 117.veb_68868fa_027 规定,需要有 Overall/Read 权限才能通过 SSH 访问 Git 存储库。(CVE-2024-34146)

 - 低危 Telegram Bot Plugin 1.4.0 和更早版本会将未加密的 Telegram Bot 令牌存储在 Jenkins 控制器上的全局配置文件 jenkinsci.plugins.telegrambot.TelegramBotGlobalConfiguration.xml 中,以此作为其配置的一部分。有权访问 Jenkins 控制器文件系统的用户可以查看此令牌。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。
 (CVE-2024-34147)

 - 中危 只要根据含有“Svn-Partial Release Manager”SCM 的版本标记触发构建时,Subversion Partial Release Manager Plugin 1.0.1 和更早版本就会以编程方式设置 Java 系统属性 hudson.model.ParametersAction.keepUndefinedParameters。这样做会使针对 SECURITY-170/CVE-2016-3721 的修复失效。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。
 (CVE-2024-34148)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - 将 Git 服务器插件升级到 117.veb_68868fa_027 版本或更高版本
 - 将脚本安全插件升级至 1336.vf33a_a_9863911 或更高版本
 - Subversion Partial Release Manager 插件:请参阅供应商公告
 - Telegram Bot 插件:请参阅供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2024-05-02

插件详情

严重性: High

ID: 194914

文件名: jenkins_security_advisory_2024-05-02_plugins.nasl

版本: 1.1

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2024/5/2

最近更新时间: 2024/6/5

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-34145

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2024/5/2

漏洞发布日期: 2024/5/2

参考资料信息

CVE: CVE-2024-34144, CVE-2024-34145, CVE-2024-34146, CVE-2024-34147, CVE-2024-34148