本报告公布了以下Jenkins可交付成果中的漏洞:必威国际有限公司
在Jenkins中,项目(比如作业)可以使用Folders Plugin或类似的工具分层组织。必威国际有限公司只有当项目的所有祖先都可以访问时,项目才可以访问。
矩阵授权策略插件插件2.6.5和更早版本没有正确地执行权限检查,以确定项目是否应该可访问。
这允许对嵌套项具有Item/Read权限的攻击者访问它们,即使它们对父文件夹缺乏Item/Read权限。
矩阵授权策略插件2.6.6需要对父项授予项/读取权限,才能对单个项授予项/读取权限。
作为旧版本中的一个解决方案,不要将单个项的权限授予不能访问父项的用户。
如果有问题,就Java系统属性hudson.security.AuthorizationMatrixProperty.checkParentPermissions可设置为错误的,完全禁用此修复。
在Jenkins中,项目(比如作业)可以使用Folders Plugin或类似的工具分层组织。必威国际有限公司只有当项目的所有祖先都可以访问时,项目才可以访问。
基于角色的授权策略插件3.1及更早版本无法正确执行权限检查以确定项目是否应可访问。
这允许对嵌套项具有Item/Read权限的攻击者访问它们,即使它们对父文件夹缺乏Item/Read权限。
基于角色的授权策略插件3.1.1需要父项的项/读权限才能授予单个项的项/读权限。
作为旧版本中的一个解决方案,不要将单个项的权限授予不能访问父项的用户。
如果有问题,就Java系统属性com.michelin.cio.hudson.plugins.rolestrategy.RoleMap.checkParentPermissions可设置为错误的,完全禁用此修复。
CloudBees AWS Credentials Plugin 1.28和更早的版本没有在帮助器方法中为HTTP端点执行权限检查。
如果安装了以下任何插件,则具有全局/读取权限的攻击者可以枚举Jenkins中存储的AWS凭据的凭据ID:必威国际有限公司
其他插件也可以使用这个helper方法,而不需要自己执行权限检查。
通过这种方式获得的凭据ID可作为攻击的一部分,使用另一个漏洞捕获凭据。
CloudBees AWS Credentials Plugin 1.28.1在helper方法中为HTTP端点执行权限检查。
下一代插件8.4.4及更早版本在实现表单验证的方法中不执行权限检查。
这允许攻击者具有Item/Read权限但没有Item/Workspace或Item/Configure权限来检查攻击者指定的文件模式是否与工作区内容匹配。可以使用请求序列来有效地列出工作区内容。
下一代插件8.5.0需要Item/Configure权限来验证带有工作区内容的模式。
Libvirt Agents Plugin 1.9.0及更早版本不要求表单提交端点的POST请求,这导致了跨站请求伪造(CSRF)漏洞。
此漏洞允许攻击者停止系统管理程序域。
Libvirt Agents Plugin 1.9.1要求受影响的HTTP端点的POST请求。
这些版本包括对上述漏洞的修复。除非另有说明,否则所有以前的版本都被视为受到这些漏洞的影响。
詹金斯计必威国际有限公司划想要感谢记者们发现并报告这些漏洞: