FreeBSD：jenkins -- 对服务器进行 HTTP 访问以检索主加密密钥 (3a65d33b-5950-11e2-b66b-00e0814cab4e)

high Nessus 插件 ID 63401

语言：

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Jenkins 安全公告报告：

此公告宣布在 Jenkins 核心中发现的一个安全漏洞。

攻击者然后可使用此主加密密钥对 Jenkins 主控端发起远程代码执行攻击，或者冒充任意用户进行 REST API 调用。

有多个因素可缓解其中部分应用于特定安装的问题。

- 特定攻击载体仅适用于连接了从服务器的 Jenkins 实例，并且允许匿名读取访问。

- Jenkins 允许用户重新生成 API 标记。攻击者无法冒充这些重新生成的 API 标记。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?0f8bc6d8

http://www.nessus.org/u?d9ac4ef7

插件详情

严重性: High

ID: 63401

文件名: freebsd_pkg_3a65d33b595011e2b66b00e0814cab4e.nasl

版本: 1.5

类型: local

系列: FreeBSD Local Security Checks

发布时间: 2013/1/8

最近更新时间: 2021/1/6

支持的传感器: Nessus

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:jenkins, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/1/8

漏洞发布日期: 2013/1/4