阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 1884阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Jenkins发布多个漏洞安全公告

级别: 论坛版主
发帖
227
云币
443
美国时间2017年12月08日,Jenkins官方安全公告披露两个安全漏洞,CVE漏洞编号为:CVE-2017-1000391、CVE-2017-1000392两个漏洞官方评级为低危,用户可以根据业务情况选择修复漏洞。 cL*oO@I&_  
具体详情如下: ?2da6v,t  
  
-hW>1s<  
漏洞编号: *9r(lmrfj  
CVE-2017-1000391 N [3Y~HX!q  
CVE-2017-1000392 N}%AUm/L  
漏洞名称: mxF+Fp~  
CVE-2017-1000391-不安全地使用用户名称作为目录名称 #z&R9$  
CVE-2017-1000392-XSS漏洞 Xw'sh#i2  
官方评级: S@3`H8 [  
低危 *5oQZ".vA*  
漏洞描述: 1G12FV>M  
CVE-2017-1000391-不安全地使用用户名称作为目录名称 de2G"'F  
Jenkins在与磁盘上的用户ID相对应的目录中存储与包含实际用户帐户的人员相关的元数据,以及出现在SCM中的用户。这些目录使用用户名作为他们的名字而没有额外的转义。这可能会导致一些问题,如下所示: @]#[TbNo  
  • 由一个正斜杠组成的用户名将把他们的用户记录存储在父目录中;删除此用户删除了所有的用户记录。
  • 包含字符序列(如..)的用户名可以用来在Jenkins中打开其他配置文件。
  • 用户名可以包含保留的名称,如COM(在Windows上)。
  • 这不仅限于Jenkins用户数据库安全领域,其他安全领域(如LDAP)可能允许用户在Jenkins中创建导致问题的用户名。
  • 用户名现在转换成用作目录名称的文件系统安全表示。
nTo?~=b  
CVE-2017-1000392-自动完成建议中存在持续的XSS漏洞 8g)$%Fy+N  
对于文本字段的动完成建议未被转义,如果建议的源允许指定包含HTML元字符(如小于号和大于号)的文本,则会导致持续的跨站点脚本攻击漏洞。这些建议之前已知的不安全来源包括日志记录器条件中的记录器名称和代理标签。目前官方已经发布修复补丁,自动完成建议已被转义,不能再包含基于HTML的格式。 d9S?dx  
漏洞利用条件和方式: ?'a>?al%>  
通过PoC直接远程利用。 \.iejB  
PoC状态: 1 +-Go}I  
未公开 ktynIN  
漏洞影响范围: C4ktCN  
Jenkins weekly <=2.88 Q`'cxx  
Jenkins LTS <=2.73.2 mD% qDKI  
漏洞检测: 8(Ptse  ,  
开发人员检查是否使用了受影响版本范围内的Jenkins软件。 A9@coP5  
漏洞修复建议(或缓解措施): !:5'MI@  
Jenkins weekly 升级至2.89版本 0iM'),v[]  
Jenkins LTS 升级至2.73.3版本 Zy9IRZe4U  
情报来源: v)O].Hd  
  • https://jenkins.io/security/advisory/2017-11-08/
:}fA98S  
ltk ARc3  
%7`eT^  
[ 此帖被正禾在2017-12-09 10:00重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 59 - 23 = ?
上一个 下一个