首页 > 安全钻研 > 安全传递 > 安全公告

Jenkins插件远程代码执行缝隙安全公告

颁布功夫 2019-02-22

缝隙编号和级别

CVE编号：CVE-2019-1003000，危险级别：高危，CVSS分值：8.8

CVE编号：CVE-2019-1003001，危险级别：高危，CVSS分值：8.8

CVE编号：CVE-2019-1003002，危险级别：高危，CVSS分值：8.8

影响领域

受影响版本：

Pipeline: Declarative Plugin 1.3.4及之前版本

Pipeline: Groovy Plugin 2.61及之前版本

Script Security Plugin 1.49及之前版本

缝隙概述

CloudBees Jenkins（前称Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具，该工具重要用于监控秩序沉复的工作。

2019年1月8日，Jenkins颁布安全布告，这次的安全布告更新建复了Jenkins的Script Security以及Pipeline Plugins等插件的sandbox bypass远程代码执行缝隙。缝隙编号别离为CVE-2019-1003000(Script Security)、CVE-2019-1003001 (Pipeline: Groovy)、CVE-2019-1003002 (Pipeline: Declarative)。

CVE-2019-1003000

Script Security是其中的一个用于检测剧本安全性的插件。

CloudBees Script Security Plugin 2.49及之前版本中的 src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.jav文件存在安全缝隙。攻击者可利用该缝隙在Jenkins master JVM上执行肆意代码。

CVE-2019-1003001

Pipeline:Groovy Plugin是其中的一个基于Java开发的持续集成工具中的流程构建插件。

CloudBees Pipeline: Groovy Plugin 2.61及之前版本中存在安全缝隙。攻击者可借助pipeline剧本利用该缝隙绕过沙盒�；�，在Jenkins master JVM上执行肆意代码。

CVE-2019-1003002

Pipeline:Declarative Plugin是使用在其中的一个指令天生器插件。

CloudBees Pipeline: Declarative Plugin 1.3.3及之前版本中的pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy文件存在安全缝隙。攻击者可借助pipeline剧本利用该缝隙绕过沙盒�；�，在Jenkins master JVM上执行肆意代码。

建复建议

将Jenkins的plugins升级至其建复版本：

1. 将Declarative Plugin更新至1.3.4.1版：https://plugins.jenkins.io/pipeline-model-definition

2. 将Groovy Plugin 更新至2.61.1版：https://plugins.jenkins.io/workflow-cps

3. 将Security Plugin更新至1.50版：https://plugins.jenkins.io/script-security

参考链接

https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

安全钻研