阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 14654阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Jenkins发布多个漏洞安全公告

级别: 论坛版主
发帖
241
云币
478
美国时间2017年12月08日,Jenkins官方安全公告披露两个安全漏洞,CVE漏洞编号为:CVE-2017-1000391、CVE-2017-1000392两个漏洞官方评级为低危,用户可以根据业务情况选择修复漏洞。 CSTI?A"P  
具体详情如下: p`F9Amb  
  
x%N\5 V1  
漏洞编号: 47r&8C+&\  
CVE-2017-1000391 rJJ[X4$  
CVE-2017-1000392 'zZcn" +!  
漏洞名称:  k5`OH8G  
CVE-2017-1000391-不安全地使用用户名称作为目录名称 ]y@F8$D!  
CVE-2017-1000392-XSS漏洞 p|+B3  
官方评级: K_/zuTy  
低危 Ju2l?Rr X  
漏洞描述: &?,6~qm[  
CVE-2017-1000391-不安全地使用用户名称作为目录名称 1ocJ+  
Jenkins在与磁盘上的用户ID相对应的目录中存储与包含实际用户帐户的人员相关的元数据,以及出现在SCM中的用户。这些目录使用用户名作为他们的名字而没有额外的转义。这可能会导致一些问题,如下所示: 4|?{VQ  
  • 由一个正斜杠组成的用户名将把他们的用户记录存储在父目录中;删除此用户删除了所有的用户记录。
  • 包含字符序列(如..)的用户名可以用来在Jenkins中打开其他配置文件。
  • 用户名可以包含保留的名称,如COM(在Windows上)。
  • 这不仅限于Jenkins用户数据库安全领域,其他安全领域(如LDAP)可能允许用户在Jenkins中创建导致问题的用户名。
  • 用户名现在转换成用作目录名称的文件系统安全表示。
7.Kc:7  
CVE-2017-1000392-自动完成建议中存在持续的XSS漏洞 2@=IT0[E\  
对于文本字段的动完成建议未被转义,如果建议的源允许指定包含HTML元字符(如小于号和大于号)的文本,则会导致持续的跨站点脚本攻击漏洞。这些建议之前已知的不安全来源包括日志记录器条件中的记录器名称和代理标签。目前官方已经发布修复补丁,自动完成建议已被转义,不能再包含基于HTML的格式。 ZR0r>@M3v<  
漏洞利用条件和方式: \x{;U#B[3>  
通过PoC直接远程利用。 n5-)/R[z  
PoC状态: 20RXK1So  
未公开 uX/$CM  
漏洞影响范围: H)w(q^i  
Jenkins weekly <=2.88 x NK1h-t  
Jenkins LTS <=2.73.2 Y-mK+1 2  
漏洞检测: I<td1Y1q  
开发人员检查是否使用了受影响版本范围内的Jenkins软件。  +=q)  
漏洞修复建议(或缓解措施): g7V8D  
Jenkins weekly 升级至2.89版本 A - YBQPE  
Jenkins LTS 升级至2.73.3版本 |{r$jZeE  
情报来源: iD38\XNMV  
  • https://jenkins.io/security/advisory/2017-11-08/
WtulTAfN  
"\W-f  
{`=0 |oP}  
[ 此帖被正禾在2017-12-09 10:00重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)