首頁 > 安全研究 > 安全通報 > 安全通告

Jenkins插件遠程代碼執行漏洞安全通告

發布時間 2019-02-22

漏洞編號和級別


CVE編號:CVE-2019-1003000,危險級別:高危,CVSS分值:8.8

CVE編號:CVE-2019-1003001,危險級別:高危,CVSS分值:8.8

CVE編號:CVE-2019-1003002,危險級別:高危,CVSS分值:8.8


影響范圍


受影響版本: 

Pipeline: Declarative Plugin 1.3.4及之前版本

Pipeline: Groovy Plugin 2.61及之前版本

Script Security Plugin 1.49及之前版本


漏洞概述


CloudBees Jenkins(前稱Hudson Labs)是美國CloudBees公司的一套基于Java開發的持續集成工具,該工具主要用于監控秩序重復的工作。


2019年1月8日,Jenkins發布安全公告,此次的安全公告更新修復了Jenkins的Script Security以及Pipeline Plugins等插件的sandbox bypass遠程代碼執行漏洞。漏洞編號分別為CVE-2019-1003000(Script Security)、CVE-2019-1003001 (Pipeline: Groovy)、CVE-2019-1003002 (Pipeline: Declarative)。


CVE-2019-1003000


Script Security是其中的一個用于檢測腳本安全性的插件。


CloudBees Script Security Plugin 2.49及之前版本中的 src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.jav文件存在安全漏洞。攻擊者可利用該漏洞在Jenkins master JVM上執行任意代碼。


CVE-2019-1003001


Pipeline:Groovy Plugin是其中的一個基于Java開發的持續集成工具中的流程構建插件。


CloudBees Pipeline: Groovy Plugin 2.61及之前版本中存在安全漏洞。攻擊者可借助pipeline腳本利用該漏洞繞過沙盒保護,在Jenkins master JVM上執行任意代碼。


CVE-2019-1003002


Pipeline:Declarative Plugin是使用在其中的一個指令生成器插件。


CloudBees Pipeline: Declarative Plugin 1.3.3及之前版本中的pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy文件存在安全漏洞。攻擊者可借助pipeline腳本利用該漏洞繞過沙盒保護,在Jenkins master JVM上執行任意代碼。


修復建議


Jenkinsplugins升級至其修復版本: 

1.       將Declarative Plugin更新至1.3.4.1版:https://plugins.jenkins.io/pipeline-model-definition

2.       將Groovy Plugin 更新至2.61.1版:https://plugins.jenkins.io/workflow-cps

3.       將Security Plugin更新至1.50版:https://plugins.jenkins.io/script-security


參考鏈接


https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266

上一篇 下一篇