Jenkins²å¼þÇå¾²Îó²îÇ徲ͨ¸æ

Ðû²¼Ê±¼ä 2019-09-03

?Îó²î±àºÅºÍ¼¶±ð


CVE±àºÅ£ºCVE-2019-10348£¬£¬£¬£¬£¬ £¬£¬Î£ÏÕ¼¶±ð£º¸ßΣ£¬£¬£¬£¬£¬ £¬£¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10350£¬£¬£¬£¬£¬ £¬£¬Î£ÏÕ¼¶±ð£º¸ßΣ£¬£¬£¬£¬£¬ £¬£¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10351£¬£¬£¬£¬£¬ £¬£¬Î£ÏÕ¼¶±ð£º¸ßΣ£¬£¬£¬£¬£¬ £¬£¬CVSS·ÖÖµ£º8.8
CVE±àºÅ£ºCVE-2019-10378£¬£¬£¬£¬£¬ £¬£¬Î£ÏÕ¼¶±ð£ºÖÐΣ£¬£¬£¬£¬£¬ £¬£¬CVSS·ÖÖµ£º5.3

CVE±àºÅ£ºCVE-2019-10385£¬£¬£¬£¬£¬ £¬£¬Î£ÏÕ¼¶±ð£ºÖÐΣ£¬£¬£¬£¬£¬ £¬£¬CVSS·ÖÖµ£º6.5


?Ó°Ïì°æ±¾


ÊÜÓ°ÏìµÄ°æ±¾


 ¿­·¢¡¤k8(ÖйúÓÎ)¹Ù·½ÍøÕ¾


?Îó²î¸ÅÊö


JenkinsÊÇÒ»ÖÖÆÕ±éʹÓõĿªÔ´×Ô¶¯»¯Ð§ÀÍÆ÷£¬£¬£¬£¬£¬ £¬£¬ÔÊÐíDevOps¿ª·¢Ö°Ô±¸ßЧ¡¢¿É¿¿µØ¹¹½¨£¬£¬£¬£¬£¬ £¬£¬²âÊԺͰ²ÅÅÈí¼þ¡£ ¡£¡£ ¡£¡£ ¡£¡£ÎªÁ˳ä·ÖʹÓÃJenkinsµÄÄ £¿£¿£¿£¿£¿£¿é»¯¼Ü¹¹£¬£¬£¬£¬£¬ £¬£¬¿ª·¢Ö°Ô±Ê¹Óòå¼þÀ´À©Õ¹Æä½¹µã¹¦Ð§£¬£¬£¬£¬£¬ £¬£¬ÔÊÐíËûÃÇÀ©Õ¹¹¹½¨°ì·¨µÄ¾ç±¾¹¦Ð§¡£ ¡£¡£ ¡£¡£ ¡£¡£JenkinsµÄ²å¼þË÷ÒýÖÐÓÐÁè¼Ý1,600¸öÉçÇøТ˳µÄ²å¼þ¡£ ¡£¡£ ¡£¡£ ¡£¡£ÆäÖÐһЩ²å¼þ´æ´¢Î´¼ÓÃܵĴ¿Îı¾Æ¾Ö¤¡£ ¡£¡£ ¡£¡£ ¡£¡£ÈôÊDZ¬·¢Êý¾Ýй¶£¬£¬£¬£¬£¬ £¬£¬ÍøÂç·¸·¨·Ö×Ó¿ÉÒÔÔÚ×é֯δ֪ÇéµÄÇéÐÎÏ»á¼ûÕâЩÊý¾Ý¡£ ¡£¡£ ¡£¡£ ¡£¡£Ê¹ÓÃÓ°ÏìJenkins²å¼þµÄÎó²îÀ´ÇÔÈ¡Ãô¸ÐÓû§Æ¾Ö¤£¬£¬£¬£¬£¬ £¬£¬µ±¾ßÓÐÀ©Õ¹¶ÁȡȨÏÞ»ò»á¼ûÖ÷ÎļþϵͳµÄÓû§µÄƾ֤й¶ʱ£¬£¬£¬£¬£¬ £¬£¬¹¥»÷ÕßÒ²¿ÉÒÔ»á¼ûÆäËû¼¯³ÉЧÀÍ£¬£¬£¬£¬£¬ £¬£¬ÌØÊâÊÇÈôÊÇÓû§¶Ô²î±ðµÄƽ̨»òЧÀÍʹÓÃÏàͬµÄÃÜÂëʱ¡£ ¡£¡£ ¡£¡£ ¡£¡£


Ñо¿ÕßÅû¶Òþ²ØÔÚ´¿Îı¾ÖеÄJenkins²å¼þÎó²îÈçÏ£º

CVE-2019-10348


Gogs PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸ö½«Gogs£¨×ÔÍйÜGitЧÀÍ£©¼¯³Éµ½JenkinsÖеIJå¼þ¡£ ¡£¡£ ¡£¡£ ¡£¡£JenkinsÖеÄGogs²å¼þ±£´æÇå¾²Îó²î£¬£¬£¬£¬£¬ £¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐò½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£ ¡£¡£ ¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£ ¡£¡£ ¡£¡£ ¡£¡£ 


CVE-2019-10350


Port Allocator PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸öTCP¶Ë¿Ú·ÖÅÉÖÎÀí²å¼þ¡£ ¡£¡£ ¡£¡£ ¡£¡£JenkinsÖеÄPort Allocator²å¼þ±£´æÇå¾²Îó²î£¬£¬£¬£¬£¬ £¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐò½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£ ¡£¡£ ¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£ ¡£¡£ ¡£¡£ ¡£¡£


CVE-2019-10351 


Caliper CI PluginÊÇʹÓÃÔÚJenkinsµÄÒ»¸öCaliper CI²å¼þ¡£ ¡£¡£ ¡£¡£ ¡£¡£Jenkins Caliper CI PluginÖб£´æÇå¾²Îó²î£¬£¬£¬£¬£¬ £¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐò½«Æ¾Ö¤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£ ¡£¡£ ¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£ ¡£¡£ ¡£¡£ ¡£¡£ 


CVE-2019-10378


JenkinsÖеÄTestLink Plugin 3.16¼°Ö®Ç°°æ±¾±£´æÐÅϢй¶Îó²î¡£ ¡£¡£ ¡£¡£ ¡£¡£¸ÃÎó²îÔ´ÓÚÍøÂçϵͳ»ò²úÆ·ÔÚÔËÐÐÀú³ÌÖб£´æÉèÖõȹýʧ¡£ ¡£¡£ ¡£¡£ ¡£¡£Î´ÊÚȨµÄ¹¥»÷Õß¿ÉʹÓÃÎó²î»ñÈ¡ÊÜÓ°Ïì×é¼þÃô¸ÐÐÅÏ¢¡£ ¡£¡£ ¡£¡£ ¡£¡£


CVE-2019-10385


Jenkins eggPlant Plugin 2.2¼°Ö®Ç°°æ±¾Öб£´æÐÅϢй¶Îó²î£¬£¬£¬£¬£¬ £¬£¬¸ÃÎó²îÔ´ÓÚ³ÌÐòƾ֤´æ´¢ÎªÃ÷ÎÄÐÎʽ¡£ ¡£¡£ ¡£¡£ ¡£¡£¹¥»÷Õß¿ÉʹÓøÃÎó²îÉó²éƾ֤¡£ ¡£¡£ ¡£¡£ ¡£¡£ 


?Îó²îÑéÖ¤


ÔÝÎÞPOC/EXP¡£ ¡£¡£ ¡£¡£ ¡£¡£


?ÐÞ¸´½¨Òé


CVE-2019-10348


ÏÖÔÚ³§ÉÌÒÑÐû²¼Éý¼¶²¹¶¡ÒÔÐÞ¸´Îó²î£¬£¬£¬£¬£¬ £¬£¬²¹¶¡»ñÈ¡Á´½Ó£ºhttps://jenkins.io/security/advisory/2019-07-11/¡£ ¡£¡£ ¡£¡£ ¡£¡£


ÆäËü¼¸¸öÎó²îÏÖÔÚ³§ÉÌÔÝδÐû²¼ÐÞ¸´²½·¥½â¾ö´ËÇå¾²ÎÊÌ⣬£¬£¬£¬£¬ £¬£¬½¨ÒéʹÓôËÈí¼þµÄÓû§Ëæʱ¹Ø×¢³§ÉÌÖ÷Ò³»ò²Î¿¼ÍøÖ·ÒÔ»ñÈ¡½â¾ö²½·¥£ºhttps://jenkins.io/¡£ ¡£¡£ ¡£¡£ ¡£¡£


?²Î¿¼Á´½Ó


https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/