FreeBSD:jenkins -- 多种漏洞 (7480b6ac-adf1-443e-a33c-3a3c0becba1e)
high Nessus 插件 ID 81587
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Jenkins 团队的 Kohsuke Kawaguchi 报告:DescriptionSECURITY-125(组合过滤器 Groovy 脚本不安全)此漏洞允许具有作业配置权限的用户升级其权限,从而导致主机执行任意代码。SECURITY-162(通过符号链接从构件遍历目录)对于构建脚本具有作业配置权限或提交访问权限的用户,此漏洞允许其访问主机上的任意文件/目录,这可能会导致敏感信息暴露,如加密密钥。SECURITY-163(更新中心元数据检索 DoS 攻击)此漏洞允许经认证的用户通过将恶意更新中心数据馈送到 Jenkins 来打断 Jenkins 的操作,从而影响插件安装和工具安装。SECURITY-165(通过 XPath 的外部实体注入) 此漏洞允许具有 Jenkins 读取权限的用户检索服务器上的任意 XML 文档,这可能导致 Jenkins 内部/外部的敏感信息泄露。SECURITY-166(HudsonPrivateSecurityRealm 允许创建保留名)如果用户使用“Jenkins”自身的用户数据库设置,Jenkins 并不拒绝保留名,从而可能导致权限升级。
SECURITY-167(XML 中的外部实体处理可能泄露敏感的本地文件)此漏洞允许攻击者创建恶意 XML 文档并将其馈送到 Jenkins,这导致 Jenkins 检索服务器上的任意 XML 文档,从而可能导致暴露 Jenkins 内部/外部的敏感信息。SECURITY-125 的严重性评级为“危急”。仅受到一定信任的用户可挂载此攻击,但这可能导致在主机上执行任意代码。
SECURITY-162 的评级为“危急”。仅受到一定信任的用户可挂载此攻击,但这可能导致敏感信息暴露。
由于可导致功能丢失,SECURITY-163 评级为“中危”。
SECURITY-165 的评级为“危急”。此攻击容易实现,并会导致敏感信息暴露。
SECURITY-166 的评级为“危急”。如果用户已使用受影响的功能,则该攻击可能导致在主机上执行任意代码。
SECURITY-167 的评级为“危急”。此攻击容易实现,并会导致敏感信息暴露。
解决方案
更新受影响的数据包。另见
插件详情
严重性: High
ID: 81587
文件名: freebsd_pkg_7480b6acadf1443ea33c3a3c0becba1e.nasl
版本: 1.4
类型: local
发布时间: 2015/3/2
最近更新时间: 2021/1/6
支持的传感器: Nessus
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2015/3/1
漏洞发布日期: 2015/3/1