偵測

Jenkins LTS < 2.289.2 / Jenkins 每週版 < 2.300 多個弱點

high Nessus Plugin ID 151193

語系:

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 是 Jenkins LTS 2.289.2 之前版本或 Jenkins 每週版的 2.300 之前版本。因此,會受到多個弱點影響:

 - 在 Jenkins 2.299 和更舊版本、LTS 2.289.1 和更舊版本中,使用者可以取消佇列項目,並中止其擁有「項目/取消」權限的作業版本,即使他們沒有「項目/讀取」權限亦如此。在 Jenkins 2.300 和 LTS 2.289.2 中,除了「項目/取消」權限外,使用者還必須擁有適用類型的「項目/讀取」權限。作為舊版 Jenkins 的因應措施,請勿向沒有「項目/讀取」權限的使用者授予「項目/取消」權限。(CVE-2021-21670)

 - Jenkins 2.299 和更舊版本、LTS 2.289.1 和更舊版本不會在登錄時讓現有工作階段無效。攻擊者可利用此弱點,使用社交工程技術來取得 Jenkins 的系統管理員存取權。此弱點是在 Jenkins 2.266 和 LTS 2.277.1 中引入的。Jenkins 2.300、LTS 2.289.2 會在登入時使現有工作階段無效。注意:若發生問題,系統管理員可將 Java 系統屬性 hudson.security.SecurityRealm.sessionFixationProtectionMode 設定為 2,藉此選擇其他實作,或將系統屬性設定為 0,以完全停用該修正。(CVE-2021-21671)

 - Seleium HTML 報告外掛程式 1.0 和更舊版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。能夠控制使用此外掛程式剖析之報告檔案的攻擊者可利用此弱點,讓 Jenkins 剖析使用外部實體的特製報告檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。Seleium HTML 報告外掛程式 1.1 會停用針對其 XML 剖析器的外部實體解析。(CVE-2021-21672)

 - CAS 外掛程式 1.6.0 和更舊版本會錯誤判斷登入後的重新導向 URL 合法指向 Jenkins。攻擊者可利用此弱點發動網路釣魚攻擊,讓使用者前往 Jenkins URL,而此 URL 會在成功驗證後將使用者轉送到其他網站。CAS 外掛程式 1.6.1 僅重新導向至相對的 (Jenkins) URL。(CVE-2021-21673)

 - requests-plugin 外掛程式 2.2.6 及更舊版本不會在 HTTP 端點中執行權限檢查。具有「整體/讀取」權限的攻擊者可利用此弱點檢視擱置中的要求清單。 requests-plugin 外掛程式 2.2.7 要求使用者具有「整體/讀取」權限才能檢視擱置中的要求清單。(CVE-2021-21674)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

將 Jenkins 每週版升級至 2.300 版或更新版本,或將 Jenkins LTS 升級至 2.289.2 版或更新版本

另請參閱

https://jenkins.io/security/advisory/2021-06-30

Plugin 詳細資訊

嚴重性: High

ID: 151193

檔案名稱: jenkins_2_300.nasl

版本: 1.8

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2021/6/30

已更新: 2022/5/9

組態: 啟用徹底檢查

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 5.8

時間分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2021-21673

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2021-21671

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/6/30

弱點發布日期: 2021/6/30

參考資訊

CVE: CVE-2021-21670, CVE-2021-21671, CVE-2021-21672, CVE-2021-21673, CVE-2021-21674

IAVA: 2021-A-0335-S