广泛使用的开源自动化服务器 Jenkins 发布了一份安全公告,解决了影响其核心系统和相关插件的多个漏洞。这些漏洞从拒绝服务到跨站脚本,如果不及时修补,将给 Jenkins 用户带来重大风险。
通过 JSON 处理拒绝服务 (CVE-2024-47855)
在 Jenkins 的 JSON 处理库中发现了一个拒绝服务漏洞(CVSS 7.5)。正如公告所述,“在 Jenkins(不含插件)中,这允许拥有 Overall/Read 权限的攻击者无限期地保持 HTTP 请求处理线程繁忙,从而占用系统资源并阻止合法用户使用 Jenkins。”这意味着恶意行为者可以有效地关闭 Jenkins 实例,中断关键的开发流水线并造成严重的停机。
令人担忧的是,该公告还强调:“Jenkins 安全团队已经发现多个插件允许缺乏 Overall/Read 权限的攻击者进行同样的操作。这些插件包括 SonarQube Scanner 和 Bitbucket。”这扩大了攻击面,增加了安装了这些插件的 Jenkins 用户的风险。
简单队列插件中的存储 XSS (CVE-2024-54003)
在 Simple Queue 插件中发现了一个高度严重的存储 XSS 漏洞(CVSS 8.0)。该漏洞允许具有 “查看/创建 ”权限的攻击者注入恶意脚本,这些脚本可由其他用户执行,可能导致数据窃取、会话劫持或进一步的系统危害。
文件系统列表参数插件中的路径遍历 (CVE-2024-54004)
文件系统列表参数插件还包含一个漏洞(CVSS 4.3),允许拥有 “Item/Configure ”权限的攻击者 “枚举 Jenkins 控制器文件系统上的文件名”。虽然该漏洞被评为中等严重性,但它仍可为攻击者提供用于进一步攻击的宝贵信息。
缓解和补救措施
Jenkins 已发布更新版本来解决这些漏洞。强烈建议用户立即升级到最新版本:
Jenkins 每周更新一次: 更新至版本 2.487
Jenkins LTS:更新至版本 2.479.2
文件系统列表参数插件: 更新至版本 0.0.15
简单队列插件:更新至版本 1.4.5 更新至版本 1.4.5
公告强调:“这些版本包含对上述漏洞的修复。除非另有说明,否则所有先前版本均被视为受这些漏洞的影响。”
依赖 Jenkins 满足自动化需求的组织应优先考虑这些更新,以确保其 CI/CD 管道的安全性和完整性。
文章原文链接:https://www.anquanke.com/post/id/302258