FreeBSD:jenkins -- 主要伺服器上源自從屬的任意程式碼執行 (0dad9114-60cc-11e4-9e84-0022156e8794)

medium Nessus Plugin ID 78815

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Jenkins 團隊的 Kohsuke Kawaguchi 報告:

以前,Jenkins 的主要伺服器與從屬伺服器的行為就像它們共同形成單一發佈處理程序一樣。這表示從屬伺服器可以要求主要伺服器在作業系統的限制之內做任何事情,例如在主要伺服器上存取檔案,或在 Jenkins 上觸發其他工作。

這個問題已經越來越嚴重,因為較大企業部署開發了更複雜的信任分隔模型,主要伺服器的系統管理員可能取用其他團隊擁有的從屬伺服器。在此類環境中,從屬伺服器的可信任程度低於主要伺服器。但並未妥善地與使用者溝通「單一發佈處理程序」的假設,導致在某些部署中存在弱點。

SECURITY-144 (CVE-2014-3665) 引入新的子系統來解決此問題。因為相容性的原因,此功能預設為關閉。如需詳細資訊、誰應該開啟此功能,以及影響的資訊,請參閱 Wiki。

CVE-2014-3566 等級評為高。它只對從較不受信任的電腦接受從屬伺服器的安裝產生影響,但這將允許此類從屬伺服器的擁有者對 Jenkins 發動遠端程式碼執行攻擊。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?c3ec4fdc

http://www.nessus.org/u?3ea19aad

https://www.cloudbees.com/jenkins-security-advisory-2014-10-30

http://www.nessus.org/u?0c66c9d8

Plugin 詳細資訊

嚴重性: Medium

ID: 78815

檔案名稱: freebsd_pkg_0dad911460cc11e49e840022156e8794.nasl

版本: 1.6

類型: local

已發布: 2014/11/3

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2014/10/31

弱點發布日期: 2014/10/30

參考資訊

CVE: CVE-2014-3665