FreeBSD:jenkins -- 多种漏洞 (7e01df39-db7e-11e5-b937-00e0814cab4e)
high Nessus 插件 ID 88945
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Jenkins 安全公告:DescriptionSECURITY-232 / CVE-2016-0788(远程处理模块中的远程代码执行漏洞)Jenkins 远程处理模块中有一个漏洞,允许未经认证的远程攻击者在托管 Jenkins 主进程的服务器上打开 JRMP 监听器,进而允许任意代码执行。SECURITY-238 / CVE-2016-0789(HTTP 响应拆分漏洞)CLI 命令文档中有一个 HTTP 响应拆分漏洞,允许攻击者构建提供恶意内容的 Jenkins URL。
SECURITY-241 / CVE-2016-0790(API 标记的非常数时间比较)对于用户提供的具有预期值的 API 标记所进行的验证并未使用常数时间比较算法,其可能允许攻击者通过暴力破解方式,使用统计方法判断有效的 API 标记。SECURITY-245 / CVE-2016-0791(CSRF crumbs 的非常数时间比较)对于用户提供的具有预期值的 CSRF crumbs 所进行的验证并未使用常数时间比较算法,其可能允许攻击者通过暴力破解方式,使用统计方法判断有效的 CSRF crumbs。SECURITY-247 / CVE-2016-0792(通过远程 API 造成远程代码执行)Jenkins 有多个 API 端点允许低权限用户访问 POST XML 文件,而其随后会由 Jenkins 反序列化。发送至这些 API 端点的恶意特别构建的 XML 文件可导致任意代码执行。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 88945
文件名: freebsd_pkg_7e01df39db7e11e5b93700e0814cab4e.nasl
版本: 2.3
类型: local
发布时间: 2016/2/25
最近更新时间: 2021/1/4
支持的传感器: Nessus
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2016/2/25
漏洞发布日期: 2016/2/24