服务公告

全部公告 > 安全公告 > 关于Jenkins插件多个安全漏洞预警

关于Jenkins插件多个安全漏洞预警

2020-05-08

一、概要

近日,华为云关注到Jenkins官方发布安全公告修复5个插件中的9个漏洞。攻击者利用漏洞可实现远程代码执行,跨站请求伪造,凭证泄漏。

SCM Filter Jervis插件远程代码执行漏洞(CVE-2020-2189):由于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容,安全风险较高。

Credentials Binding 插件凭据泄露漏洞(CVE-2020-2181、CVE-2020-2182);

Copy Artifact 插件权限校验不当漏洞(CVE-2020-2183);

CVS 插件跨站请求伪造漏洞(CVE-2020-2184);

Amazon EC2插件漏洞(CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188)。

华为云提醒使用Jenkins的用户及时安排自检并做好安全加固。

参考链接:

https://www.jenkins.io/security/advisory/2020-05-06/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

SCM Filter Jervis Plugin <= 0.2.1

Credentials Binding Plugin <= 1.22

Copy Artifact Plugin <= 1.43.1

CVS Plugin <= 2.15

Amazon EC2 Plugin <= 1.50.1

安全版本:

SCM Filter Jervis Plugin = 0.3

Credentials Binding Plugin = 1.23

Copy Artifact Plugin = 1.44

CVS Plugin = 2.16

Amazon EC2 Plugin = 1.50.2

四、漏洞处置

目前官方已发布新的插件版本修复了该批漏洞,请受影响的用户升级至安全版本,升级操作参考如下:

a、点击“系统管理”进入管理模块,选择“插件管理”管理插件,进入插件管理界面;

b、选择需要升级的插件,点击“下载待重启后安装”进行更新操作。

注:修复漏洞前请将资料备份,并进行充分测试。