Jenkins 用户小心: 发现多个安全漏洞

阅读量39084

发布时间 : 2024-11-28 14:39:19

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/jenkins-users-beware-multiple-security-vulnerabilities-discovered/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-47855

广泛使用的开源自动化服务器 Jenkins 发布了一份安全公告,解决了影响其核心系统和相关插件的多个漏洞。这些漏洞从拒绝服务到跨站脚本,如果不及时修补,将给 Jenkins 用户带来重大风险。

通过 JSON 处理拒绝服务 (CVE-2024-47855)

在 Jenkins 的 JSON 处理库中发现了一个拒绝服务漏洞(CVSS 7.5)。正如公告所述,“在 Jenkins(不含插件)中,这允许拥有 Overall/Read 权限的攻击者无限期地保持 HTTP 请求处理线程繁忙,从而占用系统资源并阻止合法用户使用 Jenkins。”这意味着恶意行为者可以有效地关闭 Jenkins 实例,中断关键的开发流水线并造成严重的停机。

令人担忧的是,该公告还强调:“Jenkins 安全团队已经发现多个插件允许缺乏 Overall/Read 权限的攻击者进行同样的操作。这些插件包括 SonarQube Scanner 和 Bitbucket。”这扩大了攻击面,增加了安装了这些插件的 Jenkins 用户的风险。

简单队列插件中的存储 XSS (CVE-2024-54003)

在 Simple Queue 插件中发现了一个高度严重的存储 XSS 漏洞(CVSS 8.0)。该漏洞允许具有 “查看/创建 ”权限的攻击者注入恶意脚本,这些脚本可由其他用户执行,可能导致数据窃取、会话劫持或进一步的系统危害。

文件系统列表参数插件中的路径遍历 (CVE-2024-54004)

文件系统列表参数插件还包含一个漏洞(CVSS 4.3),允许拥有 “Item/Configure ”权限的攻击者 “枚举 Jenkins 控制器文件系统上的文件名”。虽然该漏洞被评为中等严重性,但它仍可为攻击者提供用于进一步攻击的宝贵信息。

缓解和补救措施

Jenkins 已发布更新版本来解决这些漏洞。强烈建议用户立即升级到最新版本:

  • Jenkins 每周更新一次: 更新至版本 2.487
  • Jenkins LTS:更新至版本 2.479.2
  • 文件系统列表参数插件: 更新至版本 0.0.15
  • 简单队列插件:更新至版本 1.4.5 更新至版本 1.4.5

公告强调:“这些版本包含对上述漏洞的修复。除非另有说明,否则所有先前版本均被视为受这些漏洞的影响。”

依赖 Jenkins 满足自动化需求的组织应优先考虑这些更新,以确保其 CI/CD 管道的安全性和完整性。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66