首頁 > 安全研究 > 安全通報 > 安全通告

Jenkins插件安全漏洞安全通告

發布時間 2019-09-03

?漏洞編號和級別


CVE編號:CVE-2019-10348,危險級別:高危,CVSS分值:8.8
CVE編號:CVE-2019-10350,危險級別:高危,CVSS分值:8.8
CVE編號:CVE-2019-10351,危險級別:高危,CVSS分值:8.8
CVE編號:CVE-2019-10378,危險級別:中危,CVSS分值:5.3

CVE編號:CVE-2019-10385,危險級別:中危,CVSS分值:6.5


?影響版本


受影響的版本


 


?漏洞概述


Jenkins是一種廣泛使用的開源自動化服務器,允許DevOps開發人員高效、可靠地構建,測試和部署軟件。為了充分利用Jenkins的模塊化架構,開發人員利用插件來擴展其核心功能,允許他們擴展構建步驟的腳本功能。Jenkins的插件索引中有超過1,600個社區貢獻的插件。其中一些插件存儲未加密的純文本憑據。如果發生數據泄露,網絡犯罪分子可以在組織未知情的情況下訪問這些數據。利用影響Jenkins插件的漏洞來竊取敏感用戶憑據,當具有擴展讀取權限或訪問主文件系統的用戶的憑據泄露時,攻擊者也可以訪問其他集成服務,特別是如果用戶對不同的平臺或服務使用相同的密碼時。


研究者披露隱藏在純文本中的Jenkins插件漏洞如下:

CVE-2019-10348


Gogs Plugin是使用在Jenkins的一個將Gogs(自托管Git服務)集成到Jenkins中的插件。Jenkins中的Gogs插件存在安全漏洞,該漏洞源于程序將憑證存儲為明文形式。攻擊者可利用該漏洞查看憑證。 


CVE-2019-10350


Port Allocator Plugin是使用在Jenkins的一個TCP端口分配管理插件。Jenkins中的Port Allocator插件存在安全漏洞,該漏洞源于程序將憑證存儲為明文形式。攻擊者可利用該漏洞查看憑證。


CVE-2019-10351 


Caliper CI Plugin是使用在Jenkins的一個Caliper CI插件。Jenkins Caliper CI Plugin中存在安全漏洞,該漏洞源于程序將憑證存儲為明文形式。攻擊者可利用該漏洞查看憑證。 


CVE-2019-10378


Jenkins中的TestLink Plugin 3.16及之前版本存在信息泄露漏洞。該漏洞源于網絡系統或產品在運行過程中存在配置等錯誤。未授權的攻擊者可利用漏洞獲取受影響組件敏感信息。


CVE-2019-10385


Jenkins eggPlant Plugin 2.2及之前版本中存在信息泄露漏洞,該漏洞源于程序憑證存儲為明文形式。攻擊者可利用該漏洞查看憑證。 


?漏洞驗證


暫無POC/EXP。


?修復建議


CVE-2019-10348


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://jenkins.io/security/advisory/2019-07-11/。


其它幾個漏洞目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:https://jenkins.io/。


?參考鏈接


https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/ 

上一篇 下一篇