Jenkins²å¼þ°²È«·ì϶°²È«¹«¸æ

°ä²¼¹¦·ò 2019-09-03

?·ì϶±àºÅºÍ¼¶±ð


CVE±àºÅ£ºCVE-2019-10348 £¬£¬£¬£¬ £¬Î£ÏÕ¼¶±ð£º¸ßΣ £¬£¬£¬£¬ £¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10350 £¬£¬£¬£¬ £¬Î£ÏÕ¼¶±ð£º¸ßΣ £¬£¬£¬£¬ £¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10351 £¬£¬£¬£¬ £¬Î£ÏÕ¼¶±ð£º¸ßΣ £¬£¬£¬£¬ £¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10378 £¬£¬£¬£¬ £¬Î£ÏÕ¼¶±ð£ºÖÐΣ £¬£¬£¬£¬ £¬CVSS·ÖÖµ£º5.3

CVE±àºÅ£ºCVE-2019-10385 £¬£¬£¬£¬ £¬Î£ÏÕ¼¶±ð£ºÖÐΣ £¬£¬£¬£¬ £¬CVSS·ÖÖµ£º6.5


?Ó°Ïì°æ±¾


ÊÜÓ°ÏìµÄ°æ±¾


 8827Ì«Ñô¼¯ÍÅ(Macau)¹É·ÝÓÐÏÞ¹«Ë¾-Official website


?·ì϶¸ÅÊö


JenkinsÊÇÒ»ÖÖ¿í·ºÊ¹ÓõĿªÔ´×Ô¶¯»¯·þÎñÆ÷ £¬£¬£¬£¬ £¬ÔÊÐíDevOps¿ª·¢ÈËÔ±¸ßЧ¡¢¿¿µÃסµØ¹¹½¨ £¬£¬£¬£¬ £¬²âÊԺͲ¿ÊðÈí¼þ¡£¡£¡£¡£¡£ ¡£ÎªÁ˳ä·ÖÀûÓÃJenkinsµÄÄ£¿£¿£¿£¿£¿£¿é»¯¼Ü¹¹ £¬£¬£¬£¬ £¬¿ª·¢ÈËÔ±ÀûÓòå¼þÀ´À©´óÆäÖ÷ÌâÖ°ÄÜ £¬£¬£¬£¬ £¬ÔÊÐíËûÃÇÀ©´ó¹¹½¨²½ÖèµÄ¾çÐÔ×ÓÄÜ¡£¡£¡£¡£¡£ ¡£JenkinsµÄ²å¼þË÷ÒýÖÐÓг¬¹ý1,600¸öÉçÇø¹±Ï׵IJå¼þ¡£¡£¡£¡£¡£ ¡£ÆäÖÐһЩ²å¼þ´æ´¢Î´¼ÓÃܵĴ¿Îı¾Í´´¦¡£¡£¡£¡£¡£ ¡£ÈôÊDzúÉúÊý¾Ýй¶ £¬£¬£¬£¬ £¬ÍøÂç·¸×ï·Ö×ÓÄܹ»ÔÚ×é֯δ֪ÇéµÄÇé¿öϽӼûÕâЩÊý¾Ý¡£¡£¡£¡£¡£ ¡£ÀûÓÃÓ°ÏìJenkins²å¼þµÄ·ì϶À´ÇÔÈ¡Ãô¸ÐÓû§Í´´¦ £¬£¬£¬£¬ £¬µ±ÓµÓÐÀ©´ó¶ÁȡȨÏÞ»ò½Ó¼ûÖ÷ÎļþϵͳµÄÓû§µÄÍ´´¦Ð¹Â¶Ê± £¬£¬£¬£¬ £¬¹¥»÷ÕßÒ²Äܹ»½Ó¼ûÆäËû¼¯³É·þÎñ £¬£¬£¬£¬ £¬³ö¸ñÊÇÈôÊÇÓû§¶Ô·ÖÆçµÄƽ̨»ò·þÎñʹÓÃÒ»ÑùµÄÃÜÂëʱ¡£¡£¡£¡£¡£ ¡£


×êÑÐÕßÅû¶°µ²ØÔÚ´¿Îı¾ÖеÄJenkins²å¼þ·ì϶ÈçÏ£º

CVE-2019-10348


Gogs PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸ö½«Gogs£¨×ÔÍйÜGit·þÎñ£©¼¯³Éµ½JenkinsÖеIJå¼þ¡£¡£¡£¡£¡£ ¡£JenkinsÖеÄGogs²å¼þ´æÔÚ°²È«·ì϶ £¬£¬£¬£¬ £¬¸Ã·ì϶ԴÓÚ·¨Ê½½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄ´ó¾Ö¡£¡£¡£¡£¡£ ¡£¹¥»÷Õß¿ÉÀûÓø÷ì϶²é¿´Æ¾Ö¤¡£¡£¡£¡£¡£ ¡£ 


CVE-2019-10350


Port Allocator PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸öTCP¶Ë¿Ú·ÖÅäÖÎÀí²å¼þ¡£¡£¡£¡£¡£ ¡£JenkinsÖеÄPort Allocator²å¼þ´æÔÚ°²È«·ì϶ £¬£¬£¬£¬ £¬¸Ã·ì϶ԴÓÚ·¨Ê½½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄ´ó¾Ö¡£¡£¡£¡£¡£ ¡£¹¥»÷Õß¿ÉÀûÓø÷ì϶²é¿´Æ¾Ö¤¡£¡£¡£¡£¡£ ¡£


CVE-2019-10351 


Caliper CI PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸öCaliper CI²å¼þ¡£¡£¡£¡£¡£ ¡£Jenkins Caliper CI PluginÖдæÔÚ°²È«·ì϶ £¬£¬£¬£¬ £¬¸Ã·ì϶ԴÓÚ·¨Ê½½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄ´ó¾Ö¡£¡£¡£¡£¡£ ¡£¹¥»÷Õß¿ÉÀûÓø÷ì϶²é¿´Æ¾Ö¤¡£¡£¡£¡£¡£ ¡£ 


CVE-2019-10378


JenkinsÖеÄTestLink Plugin 3.16¼°Ö®Ç°°æ±¾´æÔÚÐÅϢй¶·ì϶¡£¡£¡£¡£¡£ ¡£¸Ã·ì϶ԴÓÚÍøÂçϵͳ»ò²úÆ·ÔÚÔËÐйý³ÌÖдæÔÚÅäÖõÈÃýÎ󡣡£¡£¡£¡£ ¡£Î´ÊÚȨµÄ¹¥»÷Õß¿ÉÀûÓ÷ì϶»ñÈ¡ÊÜÓ°Ïì×é¼þÃô¸ÐÐÅÏ¢¡£¡£¡£¡£¡£ ¡£


CVE-2019-10385


Jenkins eggPlant Plugin 2.2¼°Ö®Ç°°æ±¾ÖдæÔÚÐÅϢй¶·ì϶ £¬£¬£¬£¬ £¬¸Ã·ì϶ԴÓÚ·¨Ê½Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄ´ó¾Ö¡£¡£¡£¡£¡£ ¡£¹¥»÷Õß¿ÉÀûÓø÷ì϶²é¿´Æ¾Ö¤¡£¡£¡£¡£¡£ ¡£ 


?·ì϶ÑéÖ¤


ÔÝÎÞPOC/EXP¡£¡£¡£¡£¡£ ¡£


?½¨¸´½¨Òé


CVE-2019-10348


Ä¿Ç°³§ÉÌÒÑ°ä²¼Éý¼¶²¹¶¡ÒÔ½¨¸´·ì϶ £¬£¬£¬£¬ £¬²¹¶¡»ñÈ¡Á´½Ó£ºhttps://jenkins.io/security/advisory/2019-07-11/¡£¡£¡£¡£¡£ ¡£


ÆäËü¼¸¸ö·ì϶Ŀǰ³§ÉÌÔÝδ°ä²¼½¨¸´´ëÊ©½â¾ö´Ë°²È«ÎÊÌâ £¬£¬£¬£¬ £¬½¨ÒéʹÓôËÈí¼þµÄÓû§Ëæʱ¹Ø×¢³§ÉÌÖ÷Ò³»ò²Î¿¼ÍøÖ·ÒÔ»ñÈ¡½â¾ö·¨×Ó£ºhttps://jenkins.io/¡£¡£¡£¡£¡£ ¡£


?²Î¿¼Á´½Ó


https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/