此建议宣布以下Jenkins交付成果中的漏洞:必威国际有限公司
Git客户端插件接受用户指定的值作为调用的参数git ls-remote验证指定URL处的Git存储库是否存在。这种实现方式允许具有Job/Configure权限的攻击者以Jenkins进程运行的操作系统用户的身份在Jenkins控制器上执行任意系统命令。必威国际有限公司
Git客户端插件现在拒绝存储库url看起来不是有效的url。此外,对于支持它的Git版本,使用--分隔符以阻止解释作为选项。
在发布此建议时,3的预发布版本的用户没有更新。例如3.0.0-rc。Git客户端插件3.0.0-rc的用户建议降级至2.8.5(并降级至2.8.5)Git插件从4.0.0-rc到最新的3。X版本以解决依赖性问题)。
脚本安全插件中的沙盒保护可以通过以下任何一种方式来规避:
方法调用表达式中的方法名(CVE-2019-10393)
在赋值表达式左侧的属性表达式中精心制作的属性名称(CVE-2019-10394)
在增量和递减表达式的属性表达式中创建属性名称(CVE-2019-10399)
在不涉及实际赋值的增量和递减表达式中精心制作的子表达式(CVE-2019-10400)
这使得攻击者能够指定并运行沙盒脚本,在Jenkins控制器JVM的上下文中执行任意代码。必威国际有限公司
这些表达式现在受到沙盒保护。
Build Environment Plugin没有转义其视图上显示的环境变量的值。这导致了能够控制构建环境变量值的攻击者利用的跨站点脚本漏洞,通常是具有Job/Configure或Job/ build权限的用户。
必威国际有限公司自2.146和LTS 2.138.2以来,Jenkins默认应用了缺失转义,因此较新的Jenkins版本不受此漏洞影响。
Build Environment Plugin现在转义其视图中显示的所有变量。
仪表板视图插件没有逃避最新构建视图上的构建描述。这导致了一个跨站点脚本漏洞,攻击者可以利用该漏洞控制该视图上显示的构建的描述。
Dashboard View Plugin现在将配置的标记格式化器应用到构建描述中,并按照Jenkins中其他地方的显示方式呈现它。必威国际有限公司
Aqua Security无服务器扫描器插件在作业配置中存储服务密码。
虽然密码是加密存储在磁盘上的,但它是作为配置表单的一部分以明文传输的。这可能导致通过浏览器扩展、跨站点脚本漏洞和类似情况暴露密码。
Aqua安全无服务器扫描器插件不再以明文传输密码表单字段。
烧杯生成器插件将烧杯密码不加密地存储在Jenkins控制器上。必威国际有限公司能够访问Jenkins控制器文件系统的用户可以查看该密码。必威国际有限公司
烧杯生成器插件现在存储这些凭证加密。
这些版本包括对上述漏洞的修复。除非另有说明,所有以前的版本都被认为受到这些漏洞的影响。
詹金斯项必威国际有限公司目感谢记者们的发现报告这些漏洞: