Jenkins < 2.44 / 2.32.x < 2.32.2、Jenkins Operations Center < 1.625.22.1 / 2.7.22.0.1 / 2.32.2.1 和 Jenkins Enterprise < 1.651.22.1 / 2.7.22.0.1 / 2.32.2.1 多个漏洞

high Nessus 插件 ID 97609

语言：

简介

远程 Web 服务器托管受多个漏洞影响的作业排定和管理系统。

描述

远程 web 服务器上托管低于 2.44 的 Jenkins 版本，或低于 2.32.2 的 Jenkins LTS 版本，或其他低于 1.625.22.1 的 1.625.x.y、低于 2.7.22.0.1 的、低于 2.32.2.1 的 2.x.y.x Jenkins Operations Center 版本，或是低于 1.651.22.1 的 1.651.x.y、低于 2.7.22.0.1 的 2.7.x.0.y、低于 2.32.2.1 的 2. x.y.z Jenkins Enterprise 版本。因此，该应用程序受到以下漏洞的影响：

- jQuery Core 中存在基于 DOM 的跨站脚本 (XSS) 漏洞，这是在使用 innerHTML 渲染时，未正确验证特定标签所致。未经身份验证的远程攻击者可利用此问题，通过特别构建的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2011-4969)

- 在 jBCrypt 中 gensalt 密钥延伸实施的 crypt_raw() 函数内存在整数溢出情况，当 “log_rounds” 参数设置为最大值 (31) 时会触发。
未经身份验证的远程攻击者可以利用此问题，导致 log_rounds 执行零回合，允许暴力破解攻击更容易地确定密码散列。(CVE-2015-0886)

- 存在一个跨站点请求伪造漏洞 (XSRF)，这是若干与组和角色管理相关的 URL 不要求提交 POST 表单所致。未经身份验证的远程攻击者可利用此问题，创建未使用的角色、删除未使用的角色并设置组描述。请注意，仅 Jenkins Enterprise 会受到此问题的影响。
(CVE-2016-9887)

- 当诸如密码之类的敏感数据使用 AES-128 以电子密码本模式 (ECB) 进行加密时，存在缺陷。经过身份验证的远程攻击者可利用此问题泄露有关重复使用密码的信息。
(CVE-2017-2598)

- 存在一个不明缺陷，这是权限检查不充分所致，会在处理新项目时触发。经过身份验证的远程攻击者可利用此问题，通过使用现有条目的名称，创建新条目以覆盖现有条目，或者获得对相关对象的访问权。(CVE-2017-2599)

- 存在一个信息泄露漏洞，这是未正确设置权限以通过远程 API 访问节点监控器数据所致。经过身份验证的远程攻击者可利用此问题泄露系统配置和运行时信息。(CVE-2017-2600)

- 存在一个存储型跨站脚本 (XSS) 漏洞，这是未正确验证名称和描述字段的输入便将其返回给用户所致。经过身份验证的远程攻击者可利用此漏洞，通过特别构建的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2017-2601)

- Agent-to-Master Security Subsystem 中存在缺陷，这是未正确将来自管道套件的构建元数据列入黑名单所致。经过身份验证的远程攻击者可利用此问题覆盖元数据文件。
(CVE-2017-2602)

- 当处理用户发起的代理断开连接时，config.xml API 中存在缺陷，导致代理 API 输出中包含用户对象。经过身份验证的远程攻击者可利用此问题泄露敏感信息（例如用户 API 标记）。
(CVE-2017-2603)

- 在处理管理监视器权限时存在缺陷，允许经过身份验证的远程攻击者访问某些特定操作。
(CVE-2017-2604)

- 通过 UnprotectedRootAction 请求项目列表时，内部 API，尤其是 Jenkins: : getItems() function 中存在缺陷。经过身份验证的远程攻击者可利用此问题泄露其他受限制条目的相关信息。(CVE-2017-2606)

- 存在一个存储型跨站脚本 (XSS) 漏洞，这是未正确验证通过序列化控制台备注传送的输入，便将其返回给构建日志中的用户所致。经过身份验证的远程攻击者可利用此漏洞，通过特别构建的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2017-2607)

- 基于 XStream 的 API 中存在一个缺陷，这是未正确验证用户提供的输入便将其反序列化所致。经过身份验证的远程攻击者可利用此问题，通过特别构建的请求执行任意代码。(CVE-2017-2608)

- 搜索框的实施中存在一个缺陷，这是自动完成功能会显示受限视图的名称所致。经过身份验证的远程攻击者可利用此问题泄露视图的敏感名称。
(CVE-2017-2609)

- 存在一个存储型跨站脚本 (XSS) 漏洞，这是未正确验证用户名中传送的输入便将其返回给用户所致。经过身份验证的远程攻击者可利用此漏洞，通过特别构建的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2017-2610)

- 存在一个缺陷，该缺陷是未正确验证针对 /workspaceCleanup 和 /fingerprintCleanup URL 的权限所致。
经过身份验证的远程攻击者可利用此问题造成主机和代理的高负载。
(CVE-2017-2611)

- 存在一个缺陷，该缺陷是未正确限制对 JDK 下载凭证的访问所致。经过身份验证的远程攻击者可利用此问题覆盖凭证，进而导致构建失败。
(CVE-2017-2612)

- 存在一个跨站请求伪造 (XSRF) 漏洞，这是在执行某些敏感操作时，无法通过 HTTP GET 请求向 /user 要求多个步骤、明确确认或唯一标记所致。
未经身份验证的远程攻击者可利用此问题，通过诱使用户跟踪特制的链接，导致创建新的临时用户。
(CVE-2017-2613)

- 其 re-key admin monitor 组件中存在一个信息泄露漏洞，这是在其建立用来储存私密信息的目录上设定了全局可读取权限所致。未经身份验证的远程攻击者可利用此问题，泄露目录中包含的信息。
(CVE-2017-1000362)

解决方案

将 Jenkins 升级到 2.44 或更高版本，将 Jenkins LTS 升级到 2.32.2 或更高版本，或将 Jenkins Operations Center 升级到 1.625.22.1 / 2.7.22.0.1 / 2.32.2.1 或更高版本，或将 Jenkins Enterprise 升级到 1.651.22.1 / 2.7.22.0.1 / 2.32.2.1 或更高版本。