首页 > 安全钻研 > 安全传递 > 安全公告

Jenkins插件安全缝隙安全公告

颁布功夫 2019-09-03

?缝隙编号和级别

CVE编号：CVE-2019-10348，危险级别：高危，CVSS分值：8.8
CVE编号：CVE-2019-10350，危险级别：高危，CVSS分值：8.8
CVE编号：CVE-2019-10351，危险级别：高危，CVSS分值：8.8
CVE编号：CVE-2019-10378，危险级别：中危，CVSS分值：5.3

CVE编号：CVE-2019-10385，危险级别：中危，CVSS分值：6.5

?影响版本

受影响的版本

GA黄金甲·(中国区)官方网站

?缝隙概述

Jenkins是一种宽泛使用的开源自动化服务器，允许DevOps开发人员高效、靠得住地构建，测试和部署软件。为了充分利用Jenkins的�？榛芄�，开发人员利用插件来扩大其主题职能，允许他们扩大构建步骤的剧性子能。Jenkins的插件索引中有超过1,600个社区贡献的插件。其中一些插件存储未加密的纯文本痛处。若是产生数据泄露，网络犯罪分子能够在组织未知情的情况下接见这些数据。利用影响Jenkins插件的缝隙来窃取敏感用户痛处，当拥有扩大读取权限或接见主文件系统的用户的痛处泄露时，攻击者也能够接见其他集成服务，出格是若是用户对分歧的平台或服务使用一样的密码时。

钻研者披露暗藏在纯文本中的Jenkins插件缝隙如下：

CVE-2019-10348

Gogs Plugin是使用在Jenkins的一个将Gogs（自托管Git服务）集成到Jenkins中的插件。Jenkins中的Gogs插件存在安全缝隙，该缝隙源于法式将凭证存储为明文大局。攻击者可利用该缝隙查看凭证。

CVE-2019-10350

Port Allocator Plugin是使用在Jenkins的一个TCP端口分配治理插件。Jenkins中的Port Allocator插件存在安全缝隙，该缝隙源于法式将凭证存储为明文大局。攻击者可利用该缝隙查看凭证。

CVE-2019-10351

Caliper CI Plugin是使用在Jenkins的一个Caliper CI插件。Jenkins Caliper CI Plugin中存在安全缝隙，该缝隙源于法式将凭证存储为明文大局。攻击者可利用该缝隙查看凭证。

CVE-2019-10378

Jenkins中的TestLink Plugin 3.16及之前版本存在信息泄露缝隙。该缝隙源于网络系统或产品在运行过程中存在配置等谬误。未授权的攻击者可利用缝隙获取受影响组件敏感信息。

CVE-2019-10385

Jenkins eggPlant Plugin 2.2及之前版本中存在信息泄露缝隙，该缝隙源于法式凭证存储为明文大局。攻击者可利用该缝隙查看凭证。

?缝隙验证

暂无POC/EXP。

?建复建议

CVE-2019-10348

目前厂商已颁布升级补丁以建复缝隙，补丁获取链接：https://jenkins.io/security/advisory/2019-07-11/。

其它几个缝隙目前厂商暂未颁布建复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决法子：https://jenkins.io/。

?参考链接

https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Jenkins插件安全缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线