全部产品
云市场
云游戏

【漏洞公告】Jenkins多个漏洞安全公告

更新时间:2018-03-08 09:10:38

美国时间2017年12月08日,Jenkins官方安全公告披露了两个安全漏洞,CVE漏洞编号为:CVE-2017-1000391、CVE-2017-1000392。这两个漏洞的官方评级为低危,您可以根据业务情况选择修复漏洞。

漏洞详情见下文。


漏洞编号:

CVE-2017-1000391 和 CVE-2017-1000392

漏洞名称:

CVE-2017-1000391-不安全地使用用户名称作为目录名称

CVE-2017-1000392-XSS漏洞

官方评级:

低危

漏洞描述:

CVE-2017-1000391-不安全地使用用户名称作为目录名称

Jenkins在与磁盘上用户ID相对应的目录中,存储与实际用户账户相关的元数据,以及出现在SCM中的用户。这些目录使用用户名作为他们的名称,可能带来以下问题:

  • 由一个正斜杠组成的用户名将把他们的用户记录存储在父目录中;删除此用户会连带删除所有的用户记录。
  • 包含字符序列(如..)的用户名可以用来在Jenkins中打开其他配置文件。
  • 用户名可以包含保留的名称,如COM(在Windows上)。

该问题不仅限于Jenkins用户数据库安全领域,其他安全领域(如LDAP)可能允许用户在Jenkins中创建导致问题的用户名。用户名现在转换成一种对文件系统安全的表示,且被用作目录名称。

CVE-2017-1000392-自动完成建议中存在持续的XSS漏洞

对于文本字段的自动完成建议未被转义,如果建议的源允许指定包含HTML元字符(如小于号和大于号)的文本,则会导致持续的跨站点脚本攻击漏洞。这些建议之前已知的不安全来源包括日志记录器条件中的记录器名称和代理标签。

目前,官方已经发布修复补丁,自动完成建议已被转义,不能再包含基于HTML的格式。

漏洞利用条件和方式:

通过PoC直接远程利用。

PoC状态:

未公开

漏洞影响范围:

  • Jenkins weekly <=2.88
  • Jenkins LTS <=2.73.2

漏洞检测:

检查是否使用了受影响版本范围内的Jenkins软件。

漏洞修复建议(或缓解措施):

  • Jenkins weekly 升级至2.89版本。
  • Jenkins LTS 升级至2.73.3版本。

情报来源:

https://jenkins.io/security/advisory/2017-11-08/