FreeBSD:jenkins -- 多個弱點 (23af0425-9eac-11e5-b937-00e0814cab4e)
high Nessus Plugin ID 87292
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
Jenkins 安全性公告:DescriptionSECURITY-95 / CVE-2015-7536 (透過工作區檔案和已封存成品的儲存型 XSS 弱點) 在特定組態中,低權限使用者可在工作區和已封存的成品中建立如 HTML 的檔案,這在被其他使用者存取時會導致 XSS。Jenkins 現可傳送 Content-Security-Policy 標頭,此會預設啟用沙箱功能並禁止指令碼執行。SECURITY-225 / CVE-2015-7537 (某些管理動作中的 CSRF 弱點) 數個管理/組態相關的 URL 可使用 GET 來進行存取,進而允許攻擊者規避 CSRF 保護。SECURITY-233 / CVE-2015-7538 (CSRF 保護無效) 惡意使用者可傳送特製的 POST 要求來規避任何 URL 上的 CSRF 保護。SECURITY-234 / CVE-2015-7539 (Jenkins 外掛程式管理員容易受到 MITM 攻擊) 當 Jenkins 更新數位簽章的網站資料且簽章是由 Jenkins 驗證時,Jenkins 並未針對更新網站資料中所參照的外掛程式檔案,驗證所提供的 SHA-1 總和檢查碼。這會讓外掛程式管理員受到 MITM 攻擊,進而安裝攻擊者提供的外掛程式。解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 87292
檔案名稱: freebsd_pkg_23af04259eac11e5b93700e0814cab4e.nasl
版本: 1.4
類型: local
已發布: 2015/12/10
已更新: 2021/1/6
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2015/12/9
弱點發布日期: 2015/12/9