首页 > 安全钻研 > 安全传递 > 安全公告

Jenkins Plugins 多个安全缝隙风险公告

颁布功夫 2020-03-11

缝隙编号和级别

CVE编号：CVE-2020-2159，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2138，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2144，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2158，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2134，危险级别：高危，CVSS分值：官方未评定

CVE编号：CVE-2020-2135，危险级别：高危，CVSS分值：官方未评定

影响版本

CryptoMove Plugin 0.1.33和更早版本

Cobertura Plugin 1.15和更早版本

Rundeck Plugin 3.6.6和更早版本

Literate Plugin 1.0和更早的版本

Script Security Plugin 1.70和更早版本

缝隙概述

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品重要用于监控持续的软件版本颁布/测试项目和一些按时执行的工作。

近日，Jenkins颁布官方安全公告，Jenkins部门插件存在多个缝隙，其中高危缝隙概述如下：

CVE-2020-2159 CryptoMove Plugin 号令注入

CryptoMove插件0.1.33和更早版本允许将OS号令的配置作为其构建步骤配置的一部门执行。

该号令将作为运行Jenkins的OS用户帐户在Jenkins主服务器上执行，从而允许拥有Job/Configure权限的用户在Jenkins主服务器上执行肆意OS号令。

截至本布告颁布之时，尚无建复法式。

CVE-2020-2138 Cobertura Plugin XXE

Cobertura插件1.15和更早版本没有配置其XML解析器来预防XML表部实体（XXE）攻击。

这使用户可能节造“颁布Cobertura覆盖率汇报”构建后步骤的输入文件，以让Jenkins解析造作的文件，该文件使用表部实体从Jenkins主服务器或服务器端要求伪造中提取奥秘。

Cobertura插件1.16为其XML解析器禁用了表部实体解析。

CVE-2020-2144 Rundeck Plugin XXE

Rundeck插件3.6.6和更早版本没有配置其XML解析器来预防XML表部实体（XXE）攻击。

这允许具佑装总体/读取”接见权限的用户让Jenkins使用XML数据解析经过精心设计的HTTP要求，该XML要求使用表部实体从Jenkins主服务器或服务器端要求伪造中提取机密。

Rundeck插件3.6.7为其XML解析器禁用了表部实体解析。

CVE-2020-2158 Literate Plugin 远程代码执行

Literate Plugin 1.0和更早的版本没有配置其YAML解析器来预防事俘化肆意类型。

这导致远程代码执行缝隙，用户能够利用该缝隙向Literate Plugin的构建步骤提供YAML输入文件。

截至本布告颁布之日，尚无建复法式。

CVE-2020-2134, CVE-2020-2135 Script Security Plugin 沙盒绕过

能够通过以下方式来躲避Script Security Plugin 1.70和更早版本中的沙盒�；ぃ�

精心机关的机关函数挪用和主体（由于SECURITY-582的不齐全建复）

精心设计的步骤挪用实现GroovyInterceptable的对象

这使攻击者可能在Jenkins主JVM的高低文中指定并运行沙盒脚正本执行肆意代码。

Script Security Plugin 1.71拥有其他限度和健全性查抄，以确保在没有被沙箱拦截的情况下无法机关超等机关函数。此表，它还拦截对实现GroovyInterceptable的对象的步骤挪用，作为对GroovyObject＃invokeMethod（String，Object）的挪用，该对象是列入黑名单的步骤。

缝隙验证

暂无PoC/EXP。

建复建议

目前部门插件已更新，获取链接：https://jenkins.io/security/advisory/2020-03-09/。请实时更新插件到如下版本：

CryptoMove Plugin 暂无补丁

Literate Plugin 暂无补丁

Cobertura Plugin 升级到 1.16版本

Rundeck Plugin 升级到 3.6.7版本

Script Security Plugin 升级到 1.71版本

参考链接

https://jenkins.io/security/advisory/2020-03-09/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Jenkins Plugins 多个安全缝隙风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线