服务公告
关于Jenkins插件多个安全漏洞预警
2020-05-08
一、概要
近日,华为云关注到Jenkins官方发布安全公告修复5个插件中的9个漏洞。攻击者利用漏洞可实现远程代码执行,跨站请求伪造,凭证泄漏。
SCM Filter Jervis插件远程代码执行漏洞(CVE-2020-2189):由于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容,安全风险较高。
Credentials Binding 插件凭据泄露漏洞(CVE-2020-2181、CVE-2020-2182);
Copy Artifact 插件权限校验不当漏洞(CVE-2020-2183);
CVS 插件跨站请求伪造漏洞(CVE-2020-2184);
Amazon EC2插件漏洞(CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188)。
华为云提醒使用Jenkins的用户及时安排自检并做好安全加固。
参考链接:
https://www.jenkins.io/security/advisory/2020-05-06/
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
SCM Filter Jervis Plugin <= 0.2.1
Credentials Binding Plugin <= 1.22
Copy Artifact Plugin <= 1.43.1
CVS Plugin <= 2.15
Amazon EC2 Plugin <= 1.50.1
安全版本:
SCM Filter Jervis Plugin = 0.3
Credentials Binding Plugin = 1.23
Copy Artifact Plugin = 1.44
CVS Plugin = 2.16
Amazon EC2 Plugin = 1.50.2
四、漏洞处置
目前官方已发布新的插件版本修复了该批漏洞,请受影响的用户升级至安全版本,升级操作参考如下:
a、点击“系统管理”进入管理模块,选择“插件管理”管理插件,进入插件管理界面;
b、选择需要升级的插件,点击“下载待重启后安装”进行更新操作。
注:修复漏洞前请将资料备份,并进行充分测试。