Jenkins釋出9月安全更新通告,披露多個安全漏洞,騰訊T-Sec Web應用防火牆已支援防禦

騰訊安全發表於2020-09-07
JenkinsWeb防火牆
尊敬的騰訊雲使用者,您好!
近日,騰訊安全團隊監控到 Jenkins 釋出了9月安全通告,裡面包含了 14 個CVE漏洞(CVE-2020-2238,CVE-2020-2239,CVE-2020-2240,CVE-2020-2241,CVE-2020-2242,CVE-2020-2243,CVE-2020-2244,CVE-2020-2245,CVE-2020-2246,CVE-2020-2247,CVE-2020-2248,CVE-2020-2249,CVE-2020-2250,CVE-2020-2251),有10個外掛受影響,涉及以下外掛:

  • Build Failure Analyzer Plugin
  • Cadence vManager Plugin
  • database Plugin
  • Git Parameter Plugin
  • JSGames Plugin
  • Klocwork Analysis Plugin
  • Parameterized Remote Trigger Plugin
  • SoapUI Pro Functional Testing Plugin
  • Team Foundation Server Plugin
  • Valgrind Plugin


其中以下漏洞定義為高危:

  • CVE-2020-2248(JSGames Plugin XSS漏洞)
  • CVE-2020-2247(Klocwork Analysis Plugin中的XXE漏洞)
  • CVE-2020-2246(Valgrind plugin XSS漏洞)
  • CVE-2020-2245(Valgrind plugin XXE漏洞)
  • CVE-2020-2244(Build Failure Analyzer Plugin存在XSS漏洞)
  • CVE-2020-2243(Cadence vManager Plugin存在儲存型XSS漏洞)
  • CVE-2020-2240(database Plugin CSRF漏洞)
  • CVE-2020-2238(Git Parameter Plugin 儲存型XSS漏洞)

Jenkins是一款基於Java開發的開源專案,用於持續整合和持續交付的自動化中介軟體,是開發過程中常用的產品,為避免您的業務受影響,騰訊雲安全建議您及時開展安全自查,如在受影響範圍,請您及時進行更新修復,避免被外部攻擊者入侵。由於有部分漏洞目前尚無修補程式,建議使用採取騰訊T-Sec Web應用防火牆進行防禦。

漏洞詳情

  • Git Parameter Plugin存在儲存型 XSS漏洞(CVE-2020-2238)

Git Parameter Plugin 0.9.12及更早版本不會在“Build with Parameters”頁面上轉義。導致儲存的跨站點指令碼(XSS)漏洞可由具有“Job/Configure”許可權的攻擊者利用。Git Parameter Plugin 在 0.9.13 上完成修復工作Parameterized Remote Trigger Plugin 將密碼明文儲存在純文字中(CVE-2020-2239)Parameterized Remote Trigger Plugin 3.1.3和更早版本將密碼明文儲存在Jenkins控制器的全域性配置檔案中org.jenkinsci.plugins.ParameterizedRemoteTrigger.RemoteBuildConfiguration.xml,作為其配置的一部分。攻擊者可以訪問Jenkins控制器檔案系統來檢視此密碼。


  • database Plugin存在CSRF漏洞(CVE-2020-2240)

database Plugin 1.6和更早版本不需要資料庫控制檯的POST請求,從而導致跨站點請求偽造(CSRF)漏洞。此漏洞使攻擊者可以執行任意SQL指令碼。

database Plugin CSRF漏洞和越權漏洞CVE-2020-2241(CSRF),CVE-2020-2242(permission check)

database Plugin 1.6 和更早版本在實現表單驗證的方法中不執行許可權檢查。這使具有對Jenkins的“Overall/Read ”訪問許可權的攻擊者可以使用攻擊者指定的使用者名稱和密碼連線到攻擊者指定的資料庫伺服器。此外,此表單驗證方法不需要POST請求,從而導致跨站點請求偽造(CSRF)漏洞。database Plugin 1.7需要POST請求和受影響的表單驗證方法的“Overall/Read ”許可權。

  • Cadence vManager Plugin存在儲存型XSS漏洞(CVE-2020-2243)

Cadence vManager Plugin 3.0.4及更早版本不會在工具提示中轉義構建說明。這導致儲存的跨站點指令碼(XSS)漏洞可由具有執行/更新許可權的攻擊者利用。Cadence vManager Plugin 3.0.5刪除了受影響的工具提示。

  • Build Failure Analyzer Plugin存在XSS漏洞(CVE-2020-2244)

Build Failure Analyzer Plugin 1.27.0及更早版本不會在表單驗證響應中轉義匹配的文字。這會導致跨站點指令碼(XSS)漏洞,攻擊者可以利用此漏洞。Build Failure Analyzer Plugin 1.27.1會在受影響的表單驗證響應中轉義匹配的文字。

  • Valgrind Plugin存在XXE漏洞(CVE-2020-2245)

Valgrind Plugin 0.28和更早版本沒有配置其XML解析器來防止XML外部實體(XXE)攻擊。這使使用者能夠控制 Valgrind Plugin 解析器的輸入檔案,使Jenkins解析使用外部實體從Jenkins控制器或伺服器端請求偽造中提取機密的製作好的檔案。截至本公告發布之時,尚無修復程式。

  • Valgrind Plugin中儲存的XSS漏洞(CVE-2020-2246)

Valgrind Plugin 0.28和更早版本不會在Valgrind XML報表中轉義內容。這導致儲存的跨站點指令碼(XSS)漏洞可由能夠控制Valgrind XML報告內容的攻擊者利用。截至本公告發布之時,尚無修復程式。

  • Klocwork Analysis Plugin中的XXE漏洞(CVE-2020-2247)

Klocwork Analysis Plugin 2020.2.1和更早版本沒有配置其XML解析器來防止XML外部實體(XXE)攻擊。這使使用者能夠控制Klocwork外掛解析器的輸入檔案,使Jenkins解析使用外部實體從Jenkins控制器或伺服器端請求偽造中提取機密的製作好的檔案。截至本公告發布之時,尚無修復程式。

  • JSGames Plugin存在反射型的XSS漏洞(CVE-2020-2248)

JSGames Plugin 0.2及更早版本將URL的一部分作為程式碼進行評估。這會導致反映出跨站點指令碼(XSS)漏洞。截至本公告發布之時,尚無修復程式。

  • Team Foundation Server Plugin以明文格式儲存憑據(CVE-2020-2249)

‍‍‍‍‍Team Foundation Server Plugin 5.157.1和更早版本將Webhook機密未加密地儲存在Jenkins控制器的全域性配置檔案中;hudson.plugins.tfs.TeamPluginGlobalConfig.xml作為其配置的一部分。攻擊者可以訪問Jenkins控制器檔案系統來檢視此憑據。

  • SoapUI Pro Functional Testing Plugin使用明文儲存密碼(CVE-2020-2250)

SoapUI Pro Functional Testing Plugin 1.3和更早版本將未加密的專案密碼儲存在job config.xml 檔案中,作為其配置的一部分。具有擴充套件讀取許可權或訪問Jenkins控制器檔案系統的攻擊者可以檢視這些專案密碼。一旦再次儲存受影響的job配置,SoapUI Pro Functional Testing Plugin 1.4將儲存加密的專案密碼。

  • SoapUI Pro Functional Testing Plugin使用明文傳輸密碼(CVE-2020-2251)

SoapUI Pro功能測試外掛將專案密碼儲存在Jenkins控制器上的job檔案中config.xml作為其配置的一部分。這僅會影響2.236(包括2.235.x LTS)之前的Jenkins,因為Jenkins 2.236引入了安全性強化功能,可以透明地加密和解密用於Jenkins密碼錶單欄位的資料。截至本公告發布之時,尚無修復程式。


漏洞風險等級

  • CVE-2020-2240 高風險
  • CVE-2020-2241 中風險
  • CVE-2020-2242 中風險
  • CVE-2020-2249 低風險
  • CVE-2020-2239 低風險
  • CVE-2020-2250 中風險
  • CVE-2020-2251 中風險
  • CVE-2020-2247 高風險
  • CVE-2020-2248 高風險
  • CVE-2020-2246 高風險
  • CVE-2020-2245 高風險
  • CVE-2020-2243 高風險
  • CVE-2020-2238 高風險
  • CVE-2020-2244 高風險

影響版本 

  • Build Failure Analyzer Plugin <= 1.27.0
  • Cadence vManager Plugin <= 3.0.4
  • database Plugin <= 1.6
  • Git Parameter Plugin <= 0.9.12
  • JSGames Plugin <= 0.2
  • Klocwork Analysis Plugin <= 2020.2.1
  • Parameterized Remote Trigger Plugin <= 3.1.3
  • SoapUI Pro Functional Testing Plugin <= 1.3
  • SoapUI Pro Functional Testing Plugin <= 1.5
  • Team Foundation Server Plugin <= 5.157.1
  • Valgrind Plugin <= 0.28

修復版本

  • Build Failure Analyzer Plugin should be updated to version 1.27.1
  • Cadence vManager Plugin should be updated to version 3.0.5
  • database Plugin should be updated to version 1.7
  • Git Parameter Plugin should be updated to version 0.9.13
  • Parameterized Remote Trigger Plugin should be updated to version 3.1.4
  • SoapUI Pro Functional Testing Plugin should be updated to version 1.4

等待修補版本

  • JSGames Plugin
  • Klocwork Analysis Plugin
  • SoapUI Pro Functional Testing Plugin
  • Team Foundation Server Plugin
  • Valgrind Plugin

修復建議

官方釋出部分升級外掛修復該漏洞,但是由於部分外掛缺少修復版本,騰訊安全建議您:

  1. 更新Jenkins外掛(由於明文儲存漏洞是由於為本地漏洞,需等待外掛更新);
  2. 由於 Jenkins 的敏感性,建議 Jenkins 不對外開放,如果有公網訪問需求,可以在騰訊T-Sec Web應用防火牆上面配置IP白名單等訪問策略;
  3. 推薦企業使用者採取騰訊T-Sec Web應用防火牆檢測並攔截Jenkins9月安全更新通告中基於網路的漏洞的攻擊。


騰訊安全解決方案——騰訊T-Sec Web應用防火牆
騰訊T-Sec Web應用防火牆(Web Application Firewall)已支援攔截防禦Jenkins 9月安全更新通告內包含的漏洞。

參考連結:

官方通告:

  1. https://www.jenkins.io/security/advisory/2020-09-01/
  2. https://nvd.nist.gov/vuln/detail/CVE-2020-2238
  3. https://nvd.nist.gov/vuln/detail/CVE-2020-2239
  4. https://nvd.nist.gov/vuln/detail/CVE-2020-2240
  5. https://nvd.nist.gov/vuln/detail/CVE-2020-2241
  6. https://nvd.nist.gov/vuln/detail/CVE-2020-2242
  7. https://nvd.nist.gov/vuln/detail/CVE-2020-2243
  8. https://nvd.nist.gov/vuln/detail/CVE-2020-2244
  9. https://nvd.nist.gov/vuln/detail/CVE-2020-2245
  10. https://nvd.nist.gov/vuln/detail/CVE-2020-2246
  11. https://nvd.nist.gov/vuln/detail/CVE-2020-2247
  12. https://nvd.nist.gov/vuln/detail/CVE-2020-2248
  13. https://nvd.nist.gov/vuln/detail/CVE-2020-2249
  14. https://nvd.nist.gov/vuln/detail/CVE-2020-2250
  15. https://nvd.nist.gov/vuln/detail/CVE-2020-2251
  16. http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-036
  17. http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-035
  18. http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-037


相關文章