Jenkins 用户小心: 发现多个安全漏洞

CVE-2024-47855

广泛使用的开源自动化服务器 Jenkins 发布了一份安全公告,解决了影响其核心系统和相关插件的多个漏洞。这些漏洞从拒绝服务到跨站脚本,如果不及时修补,将给 Jenkins 用户带来重大风险。

通过 JSON 处理拒绝服务 (CVE-2024-47855)

在 Jenkins 的 JSON 处理库中发现了一个拒绝服务漏洞(CVSS 7.5)。正如公告所述,“在 Jenkins(不含插件)中,这允许拥有 Overall/Read 权限的攻击者无限期地保持 HTTP 请求处理线程繁忙,从而占用系统资源并阻止合法用户使用 Jenkins。”这意味着恶意行为者可以有效地关闭 Jenkins 实例,中断关键的开发流水线并造成严重的停机。

令人担忧的是,该公告还强调:“Jenkins 安全团队已经发现多个插件允许缺乏 Overall/Read 权限的攻击者进行同样的操作。这些插件包括 SonarQube Scanner 和 Bitbucket。”这扩大了攻击面,增加了安装了这些插件的 Jenkins 用户的风险。

简单队列插件中的存储 XSS (CVE-2024-54003)

在 Simple Queue 插件中发现了一个高度严重的存储 XSS 漏洞(CVSS 8.0)。该漏洞允许具有 “查看/创建 ”权限的攻击者注入恶意脚本,这些脚本可由其他用户执行,可能导致数据窃取、会话劫持或进一步的系统危害。

文件系统列表参数插件中的路径遍历 (CVE-2024-54004)

文件系统列表参数插件还包含一个漏洞(CVSS 4.3),允许拥有 “Item/Configure ”权限的攻击者 “枚举 Jenkins 控制器文件系统上的文件名”。虽然该漏洞被评为中等严重性,但它仍可为攻击者提供用于进一步攻击的宝贵信息。

缓解和补救措施

Jenkins 已发布更新版本来解决这些漏洞。强烈建议用户立即升级到最新版本:

  • Jenkins 每周更新一次: 更新至版本 2.487
  • Jenkins LTS:更新至版本 2.479.2
  • 文件系统列表参数插件: 更新至版本 0.0.15
  • 简单队列插件:更新至版本 1.4.5 更新至版本 1.4.5

公告强调:“这些版本包含对上述漏洞的修复。除非另有说明,否则所有先前版本均被视为受这些漏洞的影响。”

依赖 Jenkins 满足自动化需求的组织应优先考虑这些更新,以确保其 CI/CD 管道的安全性和完整性。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐