上传的项目图片:“Jenkins”必威国际有限公司
  1. 必威国际有限公司
  2. 必威国际有限公司詹金斯- 67353

log4j CVE-2021-44228和CVE-2021-45046在Jenkins必威国际有限公司

    XML 可打印的

细节

    • log4j CVE-2021-44228和CVE-2021-45046

    描述

      的状态跟踪关键的严重性log4j远端控制设备漏洞cve - 2021 - 44228(在2.15.0修复),以及低严重性脆弱性cve - 2021 - 45046在2.16.0(固定)。

      下面的插件已知包括log4j2的脆弱版本。x截止到12月10日,或者包含了log4j 2的脆弱版本。X在过去:

      插件 cve - 2021 - 44228 cve - 2021 - 45046
      https://plugins.必威国际有限公司jenkins.io/audit-log 必威国际有限公司詹金斯- 673551.3更新为2.16.0 相同
      https://plugins.必威国际有限公司jenkins.io/bootstraped-multi-test-results-report 2.2.1更新为2.17.0 相同
      https://plugins.必威国际有限公司jenkins.io/checkmarx 必威国际有限公司詹金斯- 673562021.4.3更新为2.16.0 相同
      https://plugins.必威国际有限公司jenkins.io/cmakebuilder log4j 2。x只present in 2.6.1 (obsolete since mid 2019) 相同
      https://plugins.必威国际有限公司jenkins.io/cucumber-reports log4j 2。x只present in 1.1.0 through 3.16.0 (both inclusive), obsolete since mid 2018 相同
      https://plugins.必威国际有限公司jenkins.io/hp-application-automation-tools-plugin 必威国际有限公司詹金斯- 673577.2中更新为2.17.0 相同
      https://plugins.必威国际有限公司jenkins.io/lambdatest-automation 必威国际有限公司詹金斯- 67358Log4j在1.20.0中被完全删除 相同
      https://plugins.必威国际有限公司jenkins.io/peass-ci # 71在2.0.0-540.v244012ecda48中更新到2.15.0 # 732.0.0-576.vbc3d83ca3c4a中更新到2.17.0
      https://plugins.必威国际有限公司jenkins.io/pipeline-huaweicloud-plugin 必威国际有限公司詹金斯- 673590.0.1没有修正 也跟踪必威国际有限公司詹金斯- 67359
      https://plugins.必威国际有限公司jenkins.io/reliza-integration 0.1.14更新为2.15.0 0.1.15更新为2.17.0
      https://plugins.必威国际有限公司jenkins.io/semantic-versioning-plugin log4j 2。x只present in 1.0 through 1.3 (both inclusive), obsolete since mid 2014 相同
      https://plugins.必威国际有限公司jenkins.io/talend 必威国际有限公司詹金斯- 673601.3-rc42.f3ec422d618b中更新到2.15.0 必威国际有限公司詹金斯- 67369从1.4-rc43.dbb2c0671f67中删除Log4j
      https://plugins.必威国际有限公司jenkins.io/testdroid-run-in-cloud 必威国际有限公司詹金斯- 673612.116.0没有修复 也跟踪必威国际有限公司詹金斯- 67361
      https://plugins.必威国际有限公司jenkins.io/thundra-foresight # 311.vbc9483778bb3没有修复 同样也出现在第3条
      https://plugins.必威国际有限公司jenkins.io/venafi-vcert # 92.0.0版本没有修复 同样在第9条
      https://plugins.必威国际有限公司jenkins.io/xray-connector # 532.5.2.1更新为2.16.0 相同

      参考:

      我们目前所知的情况总结如下:

      • 漏洞CVE-2021-44228影响log4j 2。x只.它是在版本中引入的2.0 -beta9和固定在2.15.0-rc2.log4j 1。x是未受影响。脆弱的存在,log4j-core-2 * . jar。(或者一个模糊的等价物)需要与插件绑定,其他任何东西(slf4j桥,API jar, log4j . 1.x)都不包括脆弱类(见下文)。
      • 最近的jre禁止了特定的LDAP RCE漏洞,但是其他漏洞仍然存在(例如捕获环境变量)。
      • Maven Shade Plugin可以重命名包,所以在其他包中可能有匹配(但在最新的插件版本中没有发现一个补丁使用内插件)
      • 其他的插件可能已经在旧版本中包含了这个库。我们正在制定一个清单。
      • Log4j 2.16.0包含对另一个安全漏洞的修复,请参阅https://lists.apache.org/thread/83y7dx5xvn3h5290q1twn16tltolv88f它的严重性较低,并且需要一个非默认配置才能被利用(或者攻击者能够配置日志记录)。它会影响2.0通过2.15.0 -beta9(包容)固定在2.16.0
      • 具体受影响的类是org.apache.logging.log4j.core.lookup.JndiLookup而且org.apache.logging.log4j.core.net.JndiManager(以前org.apache.logging.log4j.core.appender.JndiManager).前者应按手动拆除https://logging.apache.org/log4j/2.x/security.html使用受影响的版本时。这两个漏洞都适用。

      附件

        问题的链接

          有关

          Bug -损害或阻止产品功能的问题。必威国际有限公司詹金斯- 67424Checkmarx Plugin包含log4j-core 2.16版本漏洞

          • 严重-严重的功能丧失。
          • Resolved
            A developer had implemented a fix and is waiting for a feedback from the reporter.">解决
          链接

          网页链接必威国际有限公司jenkinsci / plugin-pom # 465

            网页链接必威国际有限公司jenkinsci / pom # 205

              网页链接peass-ci-plugin # 71

                网页链接reliza-integration-plugin # 1

                  网页链接thundra-foresight-plugin # 3

                    网页链接venafi-vcert-plugin # 9

                      网页链接xray-connector-plugin # 53

                        活动

                          升序-单击,按降序排序
                          查看10条旧评论
                          wfollonierWadeck Follonier添加评论-

                          ianw你是正确的。由于第二个和第三个漏洞需要更多的配置需求,我很遗憾在这里添加了2.16跟踪。我敢打赌只有2.15对我们的插件有影响。

                          wfollonierWadeck Follonier添加评论-ianw你是正确的。由于第二个和第三个漏洞需要更多的配置需求,我很遗憾在这里添加了2.16跟踪。我敢打赌只有2.15对我们的插件有影响。
                          ianw伊恩•威廉姆斯添加评论-

                          wfollonier,这就像Covid;你需要疫苗,第一剂和第二剂,外加一剂加强剂。让我们希望在这之后结束吧!

                          ianw伊恩•威廉姆斯添加评论-wfollonier,就像Covid;你需要疫苗,第一剂和第二剂,外加一剂加强剂。让我们希望在这之后结束吧!
                          bobo_4r3alLivadariu Bogdan添加评论-

                          https://github.com/web-innovate/bootstraped-multi-test-results-report
                          我不得不发布它,因为我无法访问我用来发布新版本的帐户
                          我已经提交了权限变更:https://github.com/必威国际有限公司jenkins-infra/repository-permissions-updater/pull/2269

                          一旦这个着陆,我就可以推什么东西,2.2。X将会发布,并将包含log4j的修复,以及一些更多的东西

                          bobo_4r3alLivadariu Bogdan添加评论-https://github.com/web-innovate/bootstraped-multi-test-results-report我被困在发布它,因为我无法访问我用来发布新版本的帐户,我已经提交了一个权限更改:https://github.com/jenkins-infra/repository-permissions-updater/pull/2269,一旦这个登陆,我可以推送一些东西,2.2。必威国际有限公司X将会发布,并将包含log4j的修复,以及一些更多的东西
                          bogdanlivadariuBogdan Livadariu添加评论-

                          https://github.com/web-innovate/bootstraped-multi-test-results-report2.2.1版本已经发布,很快就可以使用

                          谢谢

                          bogdanlivadariuBogdan Livadariu添加评论-https://github.com/web-innovate/bootstraped-multi-test-results-report 2.2.1版本已经发布,很快就可以使用了
                          wfollonierWadeck Follonier添加评论-

                          bogdanlivadariubobo_4r3al感谢发布,表格更新

                          wfollonierWadeck Follonier添加评论-bogdanlivadariu bobo_4r3al感谢发布,表格更新

                            未赋值的未赋值的
                            danielbeck丹尼尔·贝克
                            投票:
                            1 投票支持这个问题
                            观察人士:
                            18 开始关注这个问题

                            日期

                              创建:
                              更新: