检测

FreeBSD:jenkins -- 多种漏洞 (622e14b1-b40c-11e2-8441-00e0814cab4e)

medium Nessus 插件 ID 66311

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Jenkins 安全公告报告:

此公告宣布在 Jenkins 核心中发现的多种安全漏洞。

- SECURITY-63 / CVE-2013-2034

这造成 Jenkins 主控端上的一个跨站请求伪造 (CSRF) 漏洞,即,匿名攻击者可通过使管理员打开特别构建的攻击 URL 来诱骗其在 Jenkins 主控端上执行任意代码。

还存在一个相关漏洞,即,未精确执行对此功能的权限检查,这可能影响运行具有自定义授权策略插件的 Jenkins 实例的用户。

- SECURITY-67 / CVE-2013-2033

这造成一个跨站脚本 (XSS) 漏洞,即,其他用户使用某些浏览器时,拥有 Jenkins 主控端上的有效用户帐户的攻击者可在这些用户的浏览器中执行 JavaScript。

- SECURITY-69 / CVE-2013-2034

这是另一个 CSRF 漏洞,允许攻击者造成将二进制部署到 Maven 存储库。此漏洞具有与 SEUCRITY-63 相同的 CVE ID。

- SECURITY-71 / CVE-2013-1808

这造成一个跨站脚本 (XSS) 漏洞。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?832b8cbc

http://www.nessus.org/u?65f6b23a

插件详情

严重性: Medium

ID: 66311

文件名: freebsd_pkg_622e14b1b40c11e2844100e0814cab4e.nasl

版本: 1.7

类型: local

发布时间: 2013/5/4

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:jenkins

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/5/3

漏洞发布日期: 2013/5/2

参考资料信息

CVE: CVE-2013-1808, CVE-2013-2033, CVE-2013-2034