FreeBSD:jenkins -- 多個弱點 (7e01df39-db7e-11e5-b937-00e0814cab4e)
high Nessus Plugin ID 88945
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
Jenkins 安全性公告:DescriptionSECURITY-232 / CVE-2016-0788 (遠端處理模組中的遠端程式碼執行弱點) Jenkins 遠端處理模組中有一個弱點,允許未經驗證的遠端攻擊者在主控 Jenkins 主處理程序的伺服器上開啟 JRMP 接聽程式,進而允許任意程式碼執行。SECURITY-238 / CVE-2016-0789 (HTTP 回應分割弱點) CLI 命令說明文件中有一個 HTTP 回應分割弱點,允許攻擊者特製提供惡意內容的 Jenkins URL。
SECURITY-241 / CVE-2016-0790 (API token 的非常數時間比較) 對於使用者提供的具有預期值的 API token 所進行的驗證並未使用常數時間比較演算法,其可能允許攻擊者透過暴力密碼破解,使用統計方法判斷有效的 API token。SECURITY-245 / CVE-2016-0791 (CSRF crumbs 的非常數時間比較) 對於使用者提供的具有預期值的 CSRF crumbs 所進行的驗證並未使用常數時間比較演算法,其可能允許攻擊者透過暴力密碼破解,使用統計方法判斷有效的 CSRF crumbs。SECURITY-247 / CVE-2016-0792 (透過遠端 API 造成遠端程式碼執行) Jenkins 有數個 API 端點允許低權限使用者存取 POST XML 檔案,而其隨後會由 Jenkins 還原序列化。傳送至這些 API 端點的惡意特製 XML 檔案可導致任意程式碼執行。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 88945
檔案名稱: freebsd_pkg_7e01df39db7e11e5b93700e0814cab4e.nasl
版本: 2.3
類型: local
已發布: 2016/2/25
已更新: 2021/1/4
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2016/2/25
弱點發布日期: 2016/2/24