关于我们

【风险通告】Jenkins plugin多个安全漏洞

发布时间:2020-02-13 00:00:00

2020年2月13日,金山云安全应急响应中心监控到Jenkins官方发布了最新安全公告,涉及21个Jenkins plugin的安全漏洞,建议受影响的用户尽快进行升级、修复工作,避免损失。

 

漏洞编号:

CVE-2020-2109,CVE-2020-2110,CVE-2020-2111,CVE-2020-2112,CVE-2020-2113,CVE-2020-2114,CVE-2020-2115,CVE-2020-2116,CVE-2020-2118,CVE-2020-2119,CVE-2020-2120,CVE-2020-2121,CVE-2020-2122,CVE-2020-2123,CVE-2020-2124,CVE-2020-2125,CVE-2020-2126,CVE-2020-2127,CVE-2020-2128,CVE-2020-2129,CVE-2020-2130,CVE-2020-2131,CVE-2020-2132,CVE-2020-2133

 

漏洞名称:

Jenkins plugin多个安全漏洞

 

漏洞危害等级:

高危

 

漏洞描述:

Jenkins官网发布了最新的安全公告,涉及21个Jenkins plugin的漏洞。漏洞类型包含远程代码执行,权限绕过,XML外部实体注入攻击(XXE),跨站脚本攻击(XSS),明文存储密码等,影响范围较广。

 

影响版本:

Applatix Plugin ≦ 1.1

Azure AD Plugin ≦ 1.1.2

BMC Release Package and Deployment Plugin ≦ 1.1

Brakeman Plugin ≦ 0.12

Debian Package Builder Plugin ≦ 1.6.11

DigitalOcean Plugin ≦ 1.1

Dynamic Extended Choice Parameter Plugin ≦ 1.0.1

Eagle Tester Plugin ≦ 1.0.9

ECX Copy Data Management Plugin ≦ 1.9

FitNesse Plugin ≦ 1.30

Git Parameter Plugin ≦ 0.9.11

Google Kubernetes Engine Plugin ≦ 0.8.0

Harvest SCM Plugin ≦ 0.5.1

NUnit Plugin ≦ 0.25

Parasoft Environment Manager Plugin ≦ 2.14

Pipeline GitHub Notify Step Plugin ≦ 1.0.4

Pipeline: Groovy Plugin ≦ 2.78

RadarGun Plugin ≦ 1.7

S3 publisher Plugin ≦ 0.11.4

Script Security Plugin ≦ 1.69

Subversion Plugin ≦ 2.13.0

 

 

修复方案:

1.升级以下Plugin:

Azure AD Plugin 升级到 version 1.2.0

Brakeman Plugin 升级到 version 0.13

FitNesse Plugin 升级到 version 1.31

Git Parameter Plugin 升级到 version 0.9.12

Google Kubernetes Engine Plugin 升级到 version 0.8.1

NUnit Plugin 升级到 version 0.26

Pipeline GitHub Notify Step Plugin 升级到 version 1.0.5

Pipeline: Groovy Plugin 升级到 version 2.79

RadarGun Plugin 升级到 version 1.8

S3 publisher Plugin 升级到 version 0.11.5

Script Security Plugin 升级到 version 1.70

Subversion Plugin 升级到 version 2.13.1

2、下列Plugin,Jenkins官方尚未修复,请及时关注:

Applatix Plugin

BMC Release Package and Deployment Plugin

Debian Package Builder Plugin

DigitalOcean Plugin

Dynamic Extended Choice Parameter Plugin

Eagle Tester Plugin

ECX Copy Data Management Plugin

Harvest SCM Plugin

Parasoft Environment Manager Plugin

 

参考链接:

https://jenkins.io/security/advisory/2020-02-12/

 

 

北京金山云网络技术有限公司

2020/02/13


以上就是金山云为您带来的【风险通告】Jenkins plugin多个安全漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

金山云,开启您的云计算之旅

注册有礼