FreeBSD:jenkins -- 多個弱點 (7480b6ac-adf1-443e-a33c-3a3c0becba1e)
high Nessus Plugin ID 81587
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
Jenkins 團隊的 Kohsuke Kawaguchi 報告:DescriptionSECURITY-125 (組合篩選器 Groovy 指令碼不安全) 此弱點允許具有工作組態權限的使用者提升權限,從而導致在主機上執行任意程式碼。SECURITY-162 (透過符號連結從成品目錄遊走) 此弱點允許具有工作組態權限或是版本指令碼提交權的使用者,存取主機上的任意檔案/目錄,進而暴露敏感資訊,例如:加密金鑰。SECURITY-163 (更新中心詮釋資料擷取 DoS 攻擊) 此弱點允許經過驗證的使用者向 Jenkins 傳送惡意的更新中心資料,並中斷 Jenkins 作業,進而影響外掛程式安裝和工具安裝。SECURITY-165 (透過 XPath 的外部實體插入) 此弱點允許具有 Jenkins 讀取存取權的使用者,擷取伺服器上的任意 XML 文件,導致在 Jenkins 內/外暴露敏感資訊。SECURITY-166 (HudsonPrivateSecurityRealm 允許建立保留名稱) 對於使用「Jenkins 自己的使用者資料庫」設定的使用者,Jenkins 不會拒絕保留名稱,從而允許權限提升。
SECURITY-167 (XML 中的外部實體處理程序會洩漏敏感的本機檔案) 此弱點允許攻擊者建立惡意的 XML 文件並將其傳送到 Jenkins 中,造成 Jenkins 在伺服器上擷取任意 XML 文件,從而暴露 Jenkins 內/外的敏感資訊。SECURITY-125 嚴重性評為重大。此攻擊只能由受信任的使用者發動,不過會導致在主機上執行任意程式碼。
SECURITY-162 等級評為重大。此攻擊只能由受信任的使用者發動,不過會導致暴露敏感資訊。
SECURITY-163 只會造成功能遺失,因此評為中等。
SECURITY-165 等級評為重大。此攻擊易於掛載,且會導致敏感資訊洩漏。
SECURITY-166 等級評為重大。若使用者使用了受影響的功能,此攻擊會導致在主機上執行任意程式碼。
SECURITY-167 等級評為重大。此攻擊易於掛載,且會導致敏感資訊洩漏。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 81587
檔案名稱: freebsd_pkg_7480b6acadf1443ea33c3a3c0becba1e.nasl
版本: 1.4
類型: local
已發布: 2015/3/2
已更新: 2021/1/6
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2015/3/1
弱點發布日期: 2015/3/1