必威国际有限公司詹金斯安全咨询2017-10-11

Security-478 / cve-2017-1000393

具有在Jenkins中创建或配置代理权限的用户可以配置必威国际有限公司启动方法被称为通过执行主机上的命令启动代理．这允许他们在任何应该启动代理的时候在Jenkins控制器上运行任意shell命令。必威国际有限公司

此启动方法的配置现在需要运行脚本权限通常只授予管理员。

Security-490 / cve-2017-1000394

必威国际有限公司Jenkins将common - fileuload库的一个版本与名为CVE-2016-3092的拒绝服务漏洞捆绑在一起。

对该漏洞的修复已经被回移植到与Jenkins绑定的库版本。必威国际有限公司

Security-514 / cve-2017-1000395

Jenkins用户帐户的信息通常可由必威国际有限公司具有整体/读取权限的任何人通过/ user /(用户名)/ api远程API。这包括Jenkins用户的电子邮件地址必威国际有限公司梅勒插件安装。

远程API现在不再包含最基本的信息(用户ID和名称)以外的信息，除非请求它的用户是Jenkins管理员或用户自己。必威国际有限公司

Security-555 / cve-2017-1000396

必威国际有限公司Jenkins将common -httpclient库的一个版本与该漏洞捆绑在一起cve - 2012 - 6153错误地验证了SSL证书，使其容易受到中间人攻击。

这个库在Jenkins插件中被广泛用作传递依赖。必威国际有限公司

CVE-2012-6153的修复被回移植到common -httpclient的版本，该版本被捆绑在核心中并可用于插件。

Security-557 / cve-2017-1000397

Maven Plugin将common -httpclient库的一个版本与该漏洞捆绑在一起cve - 2012 - 6153错误地验证了SSL证书，使其容易受到中间人攻击。

Maven Plugin 3.0不再依赖common -httpclient。

Security-597 / cve-2017-1000402

Swarm Plugin Client将common -httpclient库的一个版本与该漏洞捆绑在一起cve - 2012 - 6153错误地验证了SSL证书，使其容易受到中间人攻击。

CVE-2012-6153的修复被回移植到群集插件客户端中绑定的commons-httpclient版本。

重要提示:请注意，Swarm插件客户端需要独立于插件进行更新。仅仅更新插件并不能解决安全漏洞。

Security-611 / cve-2017-1000398

远程API为/电脑/(代理名称)/ api显示关于当前在该代理上运行的任务(通常是构建)的信息。这包括当前用户无法访问的任务信息，例如，由于缺乏Job/Read权限。

这个问题已经修复，API现在只显示可访问任务的信息。

Security-618 / cve-2017-1000399

远程API为/队列/项目/ (ID) / api显示关于队列中任务的信息(通常是等待启动的构建)。这包括当前用户无法访问的任务信息，例如，由于缺乏Job/Read权限。

这个问题已经得到了解决，API端点现在只对当前用户可以访问的任务可用。

Security-617 / cve-2017-1000400

远程API为/工作/作业名)/ api包含上游和下游项目的信息。这包括当前用户无法访问的任务信息，例如，由于缺乏Job/Read权限。

这个问题已经得到了解决，API现在只列出当前用户可以访问的上游和下游项目。

Security-616 / cve-2017-1000401

Jenk必威国际有限公司ins默认表单控件用于密码和其他秘密，< f:密码/ >，支持表单验证(例如API键)。表单验证AJAX请求是通过GET发送的，这可能导致秘密被记录到Jenkins的非默认配置中的HTTP访问日志中，并向有权访问这些日志文件的用户提供。必威国际有限公司

的表单验证< f:密码/ >现在总是通过POST发送，密码在请求体中，这通常不会被记录。

Security-623 / cve-2017-1000403

该插件允许具有Job/Configure权限的用户在Jenkins JVM中运行任意Groovy代码，有效地将权限提升到Overall/ run Scripts。必威国际有限公司

截至本报告发布时，还没有解决办法。