检测

Jenkins 插件多个漏洞 (2024-03-06)

medium Nessus 插件 ID 191677

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - 具有某些 OpenSSH 扩展的 SSH 传输协议(在 9.6 之前的 OpenSSH 和其他产品中发现)允许远程攻击者绕过完整性检查,从而省略某些数据包(从扩展协商消息中),并且客户端和服务器可能因此而结束某些安全功能已被降级或禁用的连接,也称为 Terrapin 攻击。发生这种情况是因为这些扩展实现的 SSH 二进制数据包协议 (BPP) 错误地处理了握手阶段并错误地处理了序列号的使用。例如,有一种针对 SSH 使用 ChaCha20-Poly1305(以及使用 Encrypt-then-MAC 的 CBC)的有效攻击。绕过发生在 [email protected] 和(如果使用 CBC)[email protected] MAC 算法中。这也会影响 3.1.0-SNAPSHOT 之前的 Maverick Synergy Java SSH API、2022.83 及之前的 Dropbear、Erlang/OTP 中 5.1.1 之前的 Ssh、0.80 之前的 PuTTY、2.14.2 之前的 AsyncSSH、0.17.0 之前的 golang.org/x/crypto 、0.10.6 之前的 libssh、1.11.0 及之前的 libssh2、3.4.6 之前的 Thorn Tech SFTP Gateway、5.1 之前的 Tera Term、3.4.0 之前的 Paramiko、0.2.15 之前的 jsch、2.5.6 之前的 SFTPGo、23.09.1 及之前的 Netgate pfSense Plus、2.7.2 及之前的 Netgate pfSense CE、18.2.0 及之前的 HPN-SSH、1.3.8b 之前(及 1.3.9rc2 之前)的 ProFTPD、2.3.4 之前的 ORYX CycloneSSH、Build 0144 之前的 NetSarang XShell 7、10.6.0 之前的 CrushFTP、2.2.22 之前的 ConnectBot SSH 库、2.11.0 及之前的 Apache MINA sshd、0.37.0 及之前的 sshj、20230101 及之前的 TinySSH、trilead-ssh2 6401、LANCOM LCOS 及 LANconfig、3.66.4 之前的 FileZilla、11.8 之前的 Nova、14.4 之前的 PKIX-SSH、9.4.3 之前的 SecureCRT、5.10.4 之前的 Transmit5、9.5.0.0p1-Beta 之前的 Win32-OpenSSH、6.2.2 之前的 WinSCP、9.32 之前的 Bitvise SSH Server、9.33 之前的 Bitvise SSH Client、0.76.1.13 及之前的 KiTTY、适用于 Ruby 的 net-ssh gem 7.2.0、 1.15.0 之前的 mscdex ssh2 模块(适用于 Node.js)、0.35.1 之前的 thrussh 库(适用于 Rust)以及 0.40.2 之前的 Russh crate(适用于 Rust)。(CVE-2023-48795)

 - 1.16 至 1.32(含两者)的 Jenkins HTML Publisher 插件未正确审查输入,具有项目/配置权限的攻击者可以借此实施跨站脚本 (XSS) 攻击并确定 Jenkins 控制器文件系统上是否存在路径。(CVE-2024-28149)

 - 1.32 及更早版本的 Jenkins HTML Publisher 插件未转义作为报告框架显示的作业名称、报告名称和索引页面标题,导致具有项目/配置权限的攻击者可以利用存储型跨站脚本 (XSS) 漏洞。(CVE-2024-28150)

 - 1.32 及更早版本的 Jenkins HTML Publisher 插件在代理上将报告目录中的无效符号链接存档,并在控制器上重新创建这些链接,导致具有项目/配置权限的攻击者在无法访问 Jenkins 控制器文件系统时可以确定路径是否存在。
 (CVE-2024-28151)

 - 在 866.vdea_7dcd3008e 及更早版本的 Jenkins Bitbucket Branch Source 插件(848.850.v6a_a_2a_234a_c81 除外)中,发现来自 Forks 的拉取请求时,同意帐户的信任策略 Forks 允许使用 Bitbucket Server 时对项目无写入权限的用户对 Jenkinsfiles 进行变更。(CVE-2024-28152)

 - 5.4.5 及更早版本的 Jenkins OWASP Dependency-Check 插件未转义 Dependency-Check 报告中的漏洞元数据,导致发生存储型跨站脚本 (XSS) 漏洞。(CVE-2024-28153)

 - 1.4.0 及更早版本的 Jenkins MQ Notifier 插件默认将潜在的敏感构建参数作为调试信息记录到版本日志中。(CVE-2024-28154)

 - 1.0.16 及更早版本的 Jenkins AppSpider 插件未在多个 HTTP 端点中执行权限检查,导致具有全局/读取权限的攻击者可以获取有关可用扫描配置名称、引擎群组名称和客户端名称的信息。(CVE-2024-28155)

 - 在 Jenkins Delphix 插件 3.0.1 中,用于供管理员为 Data Control Tower (DCT) 连接启用或禁用 SSL/TLS 证书验证的全局选项默认已禁用。(CVE-2024-28161)

 - 在 3.0.1 至 3.1.0(含两者)的 Jenkins Delphix 插件中,用于管理员为 Data Control Tower (DCT) 连接启用或禁用 SSL/TLS 证书验证的全局选项在 Jenkins 重启并从已禁用验证切换至已启用验证后才会生效。
 (CVE-2024-28162)

 - 2.11 及更早版本的 Jenkins docker-build-step 插件中存在跨站请求伪造 (CSRF) 漏洞,导致攻击者可以连接到攻击者指定的 TCP 或 Unix 套接字 URL,并使用提供的连接测试参数重新配置插件,进而影响未来的构建步骤执行。(CVE-2024-2215)

 - 2.11 及更早版本的 Jenkins docker-build-step 插件中缺少对 HTTP 端点的权限检查,导致拥有全局/读取权限的攻击者可以连接到攻击者指定的 TCP 或 Unix 套接字 URL,并使用提供的连接测试参数重新配置插件,进而影响未来的构建步骤执行。(CVE-2024-2216)

 - 1.14-860.vd06ef2568b_3f 及更早版本的 Jenkins Build Monitor View 插件不会转义 Build Monitor View 名称,导致发生存储型跨站脚本 (XSS) 漏洞,能够配置 Build Monitor Views 的攻击者可以利用此漏洞。(CVE-2024-28156)

 - 0.8 及更早版本的 Jenkins GitBucket 插件不会审查构建视图中的 Gitbucket URL,导致发生存储型跨站脚本 (XSS) 漏洞,能够配置作业的攻击者可以利用此漏洞。
 (CVE-2024-28157)

 - 1.0.1 及更早版本的 Jenkins Subversion Partial Release Manager 插件中存在跨站脚本伪造 (CSRF) 漏洞,导致攻击者可以触发构建。(CVE-2024-28158)

 - 1.0.1 及更早版本的 Jenkins Subversion Partial Release Manager 插件中缺少权限检查,导致具有项目/读取权限的攻击者可以触发构建。(CVE-2024-28159)

 - 1.1.6 及更早版本的 Jenkins iceScrum 插件不会审查构建视图中的 iceScrum 项目 URL,导致发生存储型跨站脚本 (XSS) 漏洞,能够配置作业的攻击者可以利用此漏洞。(CVE-2024-28160)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - 将 AppSpider 插件升级至 1.0.17 或更高版本
 - 将 Bitbucket Branch Source 插件升级到 871.v28d74e8b_4226 或更高版本
 - Build Monitor View 插件:请参阅供应商公告
 - Delphix 插件升级至版本 3.1.1 或更高版本
 - docker-build-step 插件:请参阅供应商公告
 - GitBucket 插件:请参阅供应商公告
 - 将 HTML Publisher 插件升级至 1.32.1 或更高版本
 - iceScrum 插件:请参阅供应商公告
 - 将 MQ Notifier 插件升级至 1.4.1 或更高版本
 - 将 OWASP Dependency-Check 插件升级至 5.4.6 或更高版本
 - Subversion Partial Release Manager 插件:请参阅供应商公告
 - 将 Trilead API 插件升级至 2.141.v284120fd0c46 或更高版本

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2024-03-06

插件详情

严重性: Medium

ID: 191677

文件名: jenkins_security_advisory_2024-03-06_plugins.nasl

版本: 1.0

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2024/3/7

最近更新时间: 2024/3/7

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Medium

基本分数: 5.4

时间分数: 4.2

矢量: CVSS2#AV:N/AC:H/Au:N/C:N/I:C/A:N

CVSS 分数来源: CVE-2023-48795

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/3/6

漏洞发布日期: 2023/12/18

参考资料信息

CVE: CVE-2023-48795, CVE-2024-2215, CVE-2024-2216, CVE-2024-28149, CVE-2024-28150, CVE-2024-28151, CVE-2024-28152, CVE-2024-28153, CVE-2024-28154, CVE-2024-28155, CVE-2024-28156, CVE-2024-28157, CVE-2024-28158, CVE-2024-28159, CVE-2024-28160, CVE-2024-28161, CVE-2024-28162