首页 > 清静研究 > 清静转达 > 清静通告

Jenkins插件清静误差清静通告

宣布时间 2019-09-03

?误差编号和级别

CVE编号：CVE-2019-10348，危险级别：高危，CVSS分值：8.8
CVE编号：CVE-2019-10350，危险级别：高危，CVSS分值：8.8
CVE编号：CVE-2019-10351，危险级别：高危，CVSS分值：8.8
CVE编号：CVE-2019-10378，危险级别：中危，CVSS分值：5.3

CVE编号：CVE-2019-10385，危险级别：中危，CVSS分值：6.5

?影响版本

受影响的版本

耀世娱乐-科技赋能场景,让娱乐更有趣。

?误差概述

Jenkins是一种普遍使用的开源自动化服务器，允许DevOps开发职员高效、可靠地构建，测试和安排软件。为了充分使用Jenkins的�？榛芄�，开发职员使用插件来扩展其焦点功效，允许他们扩展构建办法的剧本功效。Jenkins的插件索引中有凌驾1,600个社区孝顺的插件。其中一些插件存储未加密的纯文本凭证。若是爆发数据泄露，网络犯法分子可以在组织未知情的情形下会见这些数据。使用影响Jenkins插件的误差来窃取敏感用户凭证，当具有扩展读取权限或会见主文件系统的用户的凭证泄露时，攻击者也可以会见其他集成服务，特殊是若是用户对差别的平台或服务使用相同的密码时。

研究者披露隐藏在纯文本中的Jenkins插件误差如下：

CVE-2019-10348

Gogs Plugin是使用在Jenkins的一个将Gogs（自托管Git服务）集成到Jenkins中的插件。Jenkins中的Gogs插件保存清静误差，该误差源于程序将凭证存储为明文形式。攻击者可使用该误差审查凭证。

CVE-2019-10350

Port Allocator Plugin是使用在Jenkins的一个TCP端口分派管理插件。Jenkins中的Port Allocator插件保存清静误差，该误差源于程序将凭证存储为明文形式。攻击者可使用该误差审查凭证。

CVE-2019-10351

Caliper CI Plugin是使用在Jenkins的一个Caliper CI插件。Jenkins Caliper CI Plugin中保存清静误差，该误差源于程序将凭证存储为明文形式。攻击者可使用该误差审查凭证。

CVE-2019-10378

Jenkins中的TestLink Plugin 3.16及之前版本保存信息泄露误差。该误差源于网络系统或产品在运行历程中保存设置等过失。未授权的攻击者可使用误差获取受影响组件敏感信息。

CVE-2019-10385

Jenkins eggPlant Plugin 2.2及之前版本中保存信息泄露误差，该误差源于程序凭证存储为明文形式。攻击者可使用该误差审查凭证。

?误差验证

暂无POC/EXP。

?修复建议

CVE-2019-10348

现在厂商已宣布升级补丁以修复误差，补丁获取链接：https://jenkins.io/security/advisory/2019-07-11/。

其它几个误差现在厂商暂未宣布修复步伐解决此清静问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决步伐：https://jenkins.io/。

?参考链接

https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究

Jenkins插件清静误差清静通告

关于耀世娱乐

解决计划

清静研究

联系耀世娱乐

7*24小时服务热线