首页 > 清静研究 > 清静转达 > 清静通告

Jenkins | 插件多个清静误差通告

宣布时间 2020-05-08

0x00 误差概述

产品	CVE ID	类型	误差品级	远程使用	影响规模
Jenkins插件	CVE-2020-2181	IPC	中危	是	Amazon EC2 Plugin <= 1.50.1 Copy Artifact Plugin <= 1.43.1 Credentials Binding Plugin <= 1.22 CVS Plugin <= 2.15 SCM Filter Jervis Plugin <= 0.2.1
	CVE-2020-2182	IPC	中危	是
	CVE-2020-2183	IA	中危	是
	CVE-2020-2184	CSRF	中危	是
	CVE-2020-2185	IVE	低危	是
	CVE-2020-2186	CSRF	中危	是
	CVE-2020-2187	IVE	高危	是
	CVE-2020-2188	IA	低危	是
	CVE-2020-2189	RCE	中危	是

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的一连集成工具。。。。。该产品主要用于监控一连的软件版本宣布/测试项目和一些准时执行的使命。。。。。

2020年5月6日，，，Jenkins官方宣布清静通告修复插件中的9个误差，，，其中有5个插件受到影响。。。。。详细内容如下：

Credentials Binding 插件保存两个凭证泄露误差（CVE-2020-2181、CVE-2020-2182），，，攻击者可使用该误差获取敏感信息。。。。。

Copy Artifact 插件保存权限校验不当误差（CVE-2020-2183），，，该误差源于网络系统或产品中缺少身份验证步伐或身份验证强度缺乏。。。。。

CVS 插件保存跨站请求伪造误差（CVE-2020-2184），，，该误差源于WEB应用未充分验证请求是否来自可信用户。。。。。攻击者可使用该误差通过受影响客户端向效劳器发送非预期的请求。。。。。

Amazon EC2 插件保存4 个误差（CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188）。。。。。CVE-2020-2185源于缺乏对SSH主神秘钥的验证。。。。。攻击者可使用该误差实验中心人攻击。。。。。CVE-2020-2186源于WEB应用未充分验证请求是否来自可信用户。。。。。攻击者可使用该误差通过受影响客户端向效劳器发送非预期的请求。。。。。CVE-2020-2187源于程序没有验证SSL/TLS证书和主机名。。。。。攻击者可使用该误差实验中心人攻击。。。。。CVE-2020-2188源于网络系统或产品中缺少身份验证步伐或身份验证强度缺乏。。。。。

SCM Filter Jervis插件保存远程代码执行误差（CVE-2020-2189），，，该误差源于SCM Filter Jervis插件默认不设置YAML剖析器，，，导致用户可以使用过滤器设置项目，，，也可以操作SCM已存储设置过的项目内容。。。。。

0x02 误差检测

建议相关用户尽快审查目今使用的插件版本，，，确认是否在受影响规模内，，，并实时升级至清静版本举行防护，，，操作办法如下：

点击“Manage Jenkins”进入治理模�？？？？�，，，选择“Manage Plugins”治理插件。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

点击“installed”即可对目今已装置的插件版本举行审查。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

0x03 处置惩罚建议

现在Jenkins官方已经针对此次误差宣布了新的插件版本，，，请相关用户尽快升级受影响的插件至清静版本，，，操作办法如下：

在插件治理界面选择需要升级的插件，，，点击“Download now and install after restart”举行更新操作。。。。。

0x04 相关新闻

https://www.openwall.com/lists/oss-security/2020/05/06/3

0x05 参考链接

https://www.jenkins.io/security/advisory/2020-05-06/

0x06 时间线

2020-05-06 Jenkins官方宣布通告

2020-05-08 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Jenkins | 插件多个清静误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线