Jenkins 插件多个漏洞 (2024-06-26)
medium Nessus 插件 ID 201047
语言:
简介
远程 Web 服务器主机上运行的应用程序受到多个漏洞影响描述
根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:- 低危,Structs 插件提供在管道(举例)中使用的实用工具功能以通常在执行之前实例化和配置构建步骤。当 Structs 插件 337.v1b_04ea_4df7c8 和更早版本无法配置构建步骤时,其会记录警告消息,其中包含诊断信息,该信息可能包含作为步骤参数传递的密码。这可通过默认系统日志导致意外泄露机密。Structs 插件 338.v848422169819 在记录这些警告消息之前检查实际参数的类型,如果涉及机密,还需要将详细的诊断信息限制为 FINE 级别日志消息。这些日志消息未显示在默认的 Jenkins 系统日志中。(CVE-2024-39458)
- 中危,创建机密文件凭据时,Plain Credentials 插件 182.v468b_97b_9dcb_8 和更低版本会尝试解密文件内容,以检查其是否构成有效的加密机密。在极少数情况下,文件内容与加密密钥的预期格式匹配,并且文件内容将以未加密的方式(仅编码的 Base64)存储在 Jenkins 控制器文件系统上。具有 Jenkins 控制器文件系统(全局凭证)访问权限或 Item/Extended Read 权限(文件夹范围内凭证)的用户可以查看这些凭证。未加密存储的机密文件凭证无法使用,因为它们会在使用期间被解密。因此,任何已成功使用的机密文件凭据都不会受到影响。Plain Credentials 插件 183.va_de8f1dd5a_2b_ 在创建机密文件凭据时,不再尝试解密文件内容。(CVE-2024-39459)
- 中危,Bitbucket Branch Source 插件 886.v44cf5e4ecec5 及更早版本在某些情况下,会将 Bitbucket OAuth 访问标记打印为构建日志中 Bitbucket URL 的一部分。Bitbucket Branch Source 插件 887.va_d359b_3d2d8d 不会将 Bitbucket OAuth 访问令牌包含为构建日志中 Bitbucket URL 的一部分。(CVE-2024-39460)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Jenkins 插件更新到以下版本:- 将 Bitbucket Branch Source 插件升级到 887.va_d359b_3d2d8d 或更高版本
- 将 Plain Credentials 插件升级至 183.va_de8f1dd5a_2b_ 版本或更高版本
- 将 Structs 插件升级到 338.v848422169819 版本或更高版本
有关更多详细信息,请参阅供应商公告。
另见
插件详情
严重性: Medium
ID: 201047
文件名: jenkins_security_advisory_2024-06-26_plugins.nasl
版本: 1.1
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2024/6/26
最近更新时间: 2024/6/26
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.9
CVSS v2
风险因素: Medium
基本分数: 4
时间分数: 3
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS 分数来源: CVE-2024-39460
CVSS v3
风险因素: Medium
基本分数: 4.3
时间分数: 3.8
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2024/6/26
漏洞发布日期: 2024/6/26