阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 1795阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Jenkins发布多个漏洞安全公告

级别: 论坛版主
发帖
227
云币
443
美国时间2017年12月08日,Jenkins官方安全公告披露两个安全漏洞,CVE漏洞编号为:CVE-2017-1000391、CVE-2017-1000392两个漏洞官方评级为低危,用户可以根据业务情况选择修复漏洞。 :Y\ ~[Y  
具体详情如下: -R]0cefC<f  
  
P*A+k"DU1  
漏洞编号: 953qz]Q8  
CVE-2017-1000391 C[<}eD4bV  
CVE-2017-1000392 +7}^Y}(  
漏洞名称: } Xo#/9  
CVE-2017-1000391-不安全地使用用户名称作为目录名称 U?sHh2*  
CVE-2017-1000392-XSS漏洞 vt{[_L(h  
官方评级: ?!P0UTe~  
低危 9L:wfg}8s  
漏洞描述: iRnjN  
CVE-2017-1000391-不安全地使用用户名称作为目录名称 >) u;X  
Jenkins在与磁盘上的用户ID相对应的目录中存储与包含实际用户帐户的人员相关的元数据,以及出现在SCM中的用户。这些目录使用用户名作为他们的名字而没有额外的转义。这可能会导致一些问题,如下所示: B{`adq?pW  
  • 由一个正斜杠组成的用户名将把他们的用户记录存储在父目录中;删除此用户删除了所有的用户记录。
  • 包含字符序列(如..)的用户名可以用来在Jenkins中打开其他配置文件。
  • 用户名可以包含保留的名称,如COM(在Windows上)。
  • 这不仅限于Jenkins用户数据库安全领域,其他安全领域(如LDAP)可能允许用户在Jenkins中创建导致问题的用户名。
  • 用户名现在转换成用作目录名称的文件系统安全表示。
/"8e,  
CVE-2017-1000392-自动完成建议中存在持续的XSS漏洞 oI{.{]  
对于文本字段的动完成建议未被转义,如果建议的源允许指定包含HTML元字符(如小于号和大于号)的文本,则会导致持续的跨站点脚本攻击漏洞。这些建议之前已知的不安全来源包括日志记录器条件中的记录器名称和代理标签。目前官方已经发布修复补丁,自动完成建议已被转义,不能再包含基于HTML的格式。 x.*^dM@V  
漏洞利用条件和方式: A.vAk''(}+  
通过PoC直接远程利用。 C '( Y  
PoC状态: 1`K-f m)  
未公开 Y7.+ Ma#|  
漏洞影响范围: =G:Krc8w@  
Jenkins weekly <=2.88 fA6IW(_bi  
Jenkins LTS <=2.73.2 {P8d^=#q  
漏洞检测: E+lR&~mK=  
开发人员检查是否使用了受影响版本范围内的Jenkins软件。 (Lgea  
漏洞修复建议(或缓解措施): R^.PKT2E  
Jenkins weekly 升级至2.89版本 R%WY!I8C  
Jenkins LTS 升级至2.73.3版本 ->b5"{t  
情报来源: x#EE_i/W  
  • https://jenkins.io/security/advisory/2017-11-08/
.D 4G;=Q  
09-8Xzz  
9r].rzf9  
[ 此帖被正禾在2017-12-09 10:00重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个