Jenkins²å¼þÇå¾²Îó²îÇ徲ͨ¸æ

Ðû²¼Ê±¼ä 2019-09-03

?Îó²î±àºÅºÍ¼¶±ð


CVE±àºÅ£ºCVE-2019-10348£¬£¬£¬£¬£¬Î£ÏÕ¼¶±ð£º¸ßΣ£¬£¬£¬£¬£¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10350£¬£¬£¬£¬£¬Î£ÏÕ¼¶±ð£º¸ßΣ£¬£¬£¬£¬£¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10351£¬£¬£¬£¬£¬Î£ÏÕ¼¶±ð£º¸ßΣ£¬£¬£¬£¬£¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10378£¬£¬£¬£¬£¬Î£ÏÕ¼¶±ð£ºÖÐΣ£¬£¬£¬£¬£¬CVSS·ÖÖµ£º5.3

CVE±àºÅ£ºCVE-2019-10385£¬£¬£¬£¬£¬Î£ÏÕ¼¶±ð£ºÖÐΣ£¬£¬£¬£¬£¬CVSS·ÖÖµ£º6.5


?Ó°Ïì°æ±¾


ÊÜÓ°ÏìµÄ°æ±¾


 918²©ÌìÌÃ(ÖйúÓÎ)×îйٷ½ÍøÕ¾


?Îó²î¸ÅÊö


JenkinsÊÇÒ»ÖÖÆÕ±éʹÓõĿªÔ´×Ô¶¯»¯Ð§ÀÍÆ÷£¬£¬£¬£¬£¬ÔÊÐíDevOps¿ª·¢Ö°Ô±¸ßЧ¡¢¿É¿¿µØ¹¹½¨£¬£¬£¬£¬£¬²âÊԺͰ²ÅÅÈí¼þ¡£¡£¡£¡£ ¡£¡£ÎªÁ˳ä·ÖʹÓÃJenkinsµÄÄ£¿£¿£¿é»¯¼Ü¹¹£¬£¬£¬£¬£¬¿ª·¢Ö°Ô±Ê¹Óòå¼þÀ´À©Õ¹Æä½¹µã¹¦Ð§£¬£¬£¬£¬£¬ÔÊÐíËûÃÇÀ©Õ¹¹¹½¨°ì·¨µÄ¾ç±¾¹¦Ð§¡£¡£¡£¡£ ¡£¡£JenkinsµÄ²å¼þË÷ÒýÖÐÓÐÁè¼Ý1,600¸öÉçÇøТ˳µÄ²å¼þ¡£¡£¡£¡£ ¡£¡£ÆäÖÐһЩ²å¼þ´æ´¢Î´¼ÓÃܵĴ¿Îı¾Æ¾Ö¤¡£¡£¡£¡£ ¡£¡£ÈôÊDZ¬·¢Êý¾Ýй¶£¬£¬£¬£¬£¬ÍøÂç·¸·¨·Ö×Ó¿ÉÒÔÔÚ×é֯δ֪ÇéµÄÇéÐÎÏ»á¼ûÕâЩÊý¾Ý¡£¡£¡£¡£ ¡£¡£Ê¹ÓÃÓ°ÏìJenkins²å¼þµÄÎó²îÀ´ÇÔÈ¡Ãô¸ÐÓû§Æ¾Ö¤£¬£¬£¬£¬£¬µ±¾ßÓÐÀ©Õ¹¶ÁȡȨÏÞ»ò»á¼ûÖ÷ÎļþϵͳµÄÓû§µÄƾ֤й¶ʱ£¬£¬£¬£¬£¬¹¥»÷ÕßÒ²¿ÉÒÔ»á¼ûÆäËû¼¯³ÉЧÀÍ£¬£¬£¬£¬£¬ÌØÊâÊÇÈôÊÇÓû§¶Ô²î±ðµÄƽ̨»òЧÀÍʹÓÃÏàͬµÄÃÜÂëʱ¡£¡£¡£¡£ ¡£¡£


Ñо¿ÕßÅû¶Òþ²ØÔÚ´¿Îı¾ÖеÄJenkins²å¼þÎó²îÈçÏ£º

CVE-2019-10348


Gogs PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸ö½«Gogs£¨×ÔÍйÜGitЧÀÍ£©¼¯³Éµ½JenkinsÖеIJå¼þ¡£¡£¡£¡£ ¡£¡£JenkinsÖеÄGogs²å¼þ±£´æÇå¾²Îó²î£¬£¬£¬£¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐò½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£¡£¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£¡£¡£¡£ ¡£¡£ 


CVE-2019-10350


Port Allocator PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸öTCP¶Ë¿Ú·ÖÅÉÖÎÀí²å¼þ¡£¡£¡£¡£ ¡£¡£JenkinsÖеÄPort Allocator²å¼þ±£´æÇå¾²Îó²î£¬£¬£¬£¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐò½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£¡£¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£¡£¡£¡£ ¡£¡£


CVE-2019-10351 


Caliper CI PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸öCaliper CI²å¼þ¡£¡£¡£¡£ ¡£¡£Jenkins Caliper CI PluginÖб£´æÇå¾²Îó²î£¬£¬£¬£¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐò½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£¡£¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£¡£¡£¡£ ¡£¡£ 


CVE-2019-10378


JenkinsÖеÄTestLink Plugin 3.16¼°Ö®Ç°°æ±¾±£´æÐÅϢй¶Îó²î¡£¡£¡£¡£ ¡£¡£¸ÃÎó²îÔ´ÓÚÍøÂçϵͳ»ò²úÆ·ÔÚÔËÐÐÀú³ÌÖб£´æÉèÖõȹýʧ¡£¡£¡£¡£ ¡£¡£Î´ÊÚȨµÄ¹¥»÷Õß¿ÉʹÓÃÎó²î»ñÈ¡ÊÜÓ°Ïì×é¼þÃô¸ÐÐÅÏ¢¡£¡£¡£¡£ ¡£¡£


CVE-2019-10385


Jenkins eggPlant Plugin 2.2¼°Ö®Ç°°æ±¾Öб£´æÐÅϢй¶Îó²î£¬£¬£¬£¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐòƾ֤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£¡£¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£¡£¡£¡£ ¡£¡£ 


?Îó²îÑéÖ¤


ÔÝÎÞPOC/EXP¡£¡£¡£¡£ ¡£¡£


?ÐÞ¸´½¨Òé


CVE-2019-10348


ÏÖÔÚ³§ÉÌÒÑÐû²¼Éý¼¶²¹¶¡ÒÔÐÞ¸´Îó²î£¬£¬£¬£¬£¬²¹¶¡»ñÈ¡Á´½Ó£ºhttps://jenkins.io/security/advisory/2019-07-11/¡£¡£¡£¡£ ¡£¡£


ÆäËü¼¸¸öÎó²îÏÖÔÚ³§ÉÌÔÝδÐû²¼ÐÞ¸´²½·¥½â¾ö´ËÇå¾²ÎÊÌ⣬£¬£¬£¬£¬½¨ÒéʹÓôËÈí¼þµÄÓû§Ëæʱ¹Ø×¢³§ÉÌÖ÷Ò³»ò²Î¿¼ÍøÖ·ÒÔ»ñÈ¡½â¾ö²½·¥£ºhttps://jenkins.io/¡£¡£¡£¡£ ¡£¡£


?²Î¿¼Á´½Ó


https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/