Jenkins五月份漏洞安全公告
Jenkins五月份发布的漏洞安全通告中公布了9个漏洞,其中包含1个高危、6个中危、2个低危。分别为CVE-2020-2181、CVE-2020-2182、CVE-2020-2183、CVE-2020-2184、CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188、 CVE-2020-2189(高危) 。建议受影响的客户尽快更新官方发布的最新版本插件。
Jenkins组件介绍
Jenkins是一个功能强大的应用程序,允许持续集成和持续交付项目,无论用的是什么平台。这是一个免费的源代码,可以处理任何类型的构建或持续集成。集成Jenkins可以用于一些测试和部署技术。Jenkins是一种软件允许持续集成。
Jenkins可以通过本机系统包Docker安装,甚至可以通过安装Java Runtime Environment的任何机器独立运行。
漏洞描述及影响
| 漏洞编号 |
漏洞描述 |
受影响插件版本 |
CVE-2020-2181 |
Credentials Binding插件两个凭据泄露漏洞 |
Credentials Binding Plugin <= 1.22 |
CVE-2020-2182 |
Credentials Binding Plugin <= 1.22 |
|
CVE-2020-2183 |
Copy Artifact插件权限校验不当漏洞 |
Copy Artifact Plugin <= 1.43.1 |
CVE-2020-2184 |
CVS 插件的跨站请求伪造漏洞 |
CVS Plugin <= 2.15 |
CVE-2020-2185 |
Amazon EC2 插件中的4 个漏洞 |
Amazon EC2 Plugin <= 1.50.1 |
CVE-2020-2186 |
Amazon EC2 Plugin <= 1.50.1 |
|
CVE-2020-2187 |
Amazon EC2 Plugin <= 1.50.1 |
|
CVE-2020-2188 |
Amazon EC2 Plugin <= 1.50.1 |
|
CVE-2020-2189 |
SCM Filter Jervis插件原创代码执行漏洞 |
SCM Filter Jervis Plugin <= 0.2.1 |
CVE-2020-2189是本次安全通告中公布的高危漏洞,由于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容。
修复建议
官方发布的最新版本插件已经防御此漏洞,请受影响的客户下载最新版本进行防御,下载方式:
1. 点击“Manage Jenkins”进入管理模块,选择“Manage Plugins”管理插件。
2. 在installed模块下搜索需要更新的插件进行更新。
2020/5/6
Jenkins发布的漏洞安全通告
2020/5/8
深信服千里目安全实验室发布Jenkins漏洞安全公告。
参考链接
https://www.jenkins.io/security/advisory/2020-05-06/
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
