FreeBSD:jenkins -- 多种漏洞 (23af0425-9eac-11e5-b937-00e0814cab4e)
high Nessus 插件 ID 87292
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Jenkins 安全公告:DescriptionSECURITY-95 / CVE-2015-7536(通过工作区文件和归档项目存储的 XSS 漏洞)在某些配置中,低权限用户能够在工作区和归档项目中创建 HTML 等文件,其他用户访问时可造成 XSS。Jenkins 默认现在发送启用沙盒并禁止脚本执行的内容安全策略标头。SECURITY-225 / CVE-2015-7537(一些管理操作中的 CSRF 漏洞)可使用允许攻击者避开 CSRF 保护的 GET 访问多个管理/配置相关的 URL。SECURITY-233 / CVE-2015-7538(CSRF 保护失效)恶意用户能够通过发送特别构建的 POST 请求避开任意 URL 的 CSRF 保护。SECURITY-234 / CVE-2015-7539(容易受到 MITM 攻击的 Jenkins 插件管理器)Jenkins 更新站点数据具有数字签名且签名经 Jenkins 验证时,Jenkins 不验证更新站点中所引用插件文件的 SHA-1 校验和。这会在插件管理器上引发 MITM 攻击,导致安装攻击者提供的插件。解决方案
更新受影响的数据包。另见
插件详情
严重性: High
ID: 87292
文件名: freebsd_pkg_23af04259eac11e5b93700e0814cab4e.nasl
版本: 1.4
类型: local
发布时间: 2015/12/10
最近更新时间: 2021/1/6
支持的传感器: Nessus
漏洞信息
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:jenkins-lts, p-cpe:/a:freebsd:freebsd:jenkins
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2015/12/9
漏洞发布日期: 2015/12/9