该建议宣布了这些Jenkins插件中的多个漏洞:必威国际有限公司
额外列插件
脚本安全插件(从Jenkins 1.600必威国际有限公司和Jenkins 1.596.1开始捆绑;管道插件、矩阵项目插件等的依赖关系)
Security-136 / cve-2016-3101
Extra Columns插件在工具提示中呈现用户提供的HTML,而不通过配置的标记格式化器过滤它们。
Security-258 / cve-2016-3102 .使用实例
脚本安全插件为其他插件提供了一个Groovy沙盒实现,只允许执行经过批准的签名。此沙盒不包括直接的现场访问(foo .@bar)或获取/设置数组操作(foo(酒吧)).
foo .@bar
foo(酒吧)
考虑SECURITY-136媒介.
考虑SECURITY-258媒介.
额外列插件,包括1.16版本。
脚本安全插件,包括1.18版本。
额外列插件的用户应该将其更新到1.17版本。
脚本安全插件的用户应该将其更新到1.18.1版本。
这些版本包括对上述漏洞的修复。所有以前的版本都受到这些漏洞的影响。
詹金斯项必威国际有限公司目要感谢以下人员的发现和报告这些漏洞:
Daniel Beck, CloudBees, Inc.安全- 136
Jesse Glick, CloudBees, Inc.安全- 258