首页 > 清静研究 > 清静转达 > 清静通告

Jenkins插件远程代码执行误差清静通告

宣布时间 2019-02-22

误差编号和级别

CVE编号：CVE-2019-1003000，，，，，，危险级别：高危，，，，，，CVSS分值：8.8

CVE编号：CVE-2019-1003001，，，，，，危险级别：高危，，，，，，CVSS分值：8.8

CVE编号：CVE-2019-1003002，，，，，，危险级别：高危，，，，，，CVSS分值：8.8

影响规模

受影响版本：

Pipeline: Declarative Plugin 1.3.4及之前版本

Pipeline: Groovy Plugin 2.61及之前版本

Script Security Plugin 1.49及之前版本

误差概述

CloudBees Jenkins（前称Hudson Labs）是美国CloudBees公司的一套基于Java开发的一连集成工具，，，，，，该工具主要用于监控秩序重复的事情。。。。

2019年1月8日，，，，，，Jenkins宣布清静通告，，，，，，此次的清静通告更新修复了Jenkins的Script Security以及Pipeline Plugins等插件的sandbox bypass远程代码执行误差。。。。误差编号划分为CVE-2019-1003000(Script Security)、CVE-2019-1003001 (Pipeline: Groovy)、CVE-2019-1003002 (Pipeline: Declarative)。。。。

CVE-2019-1003000

Script Security是其中的一个用于检测剧本清静性的插件。。。。

CloudBees Script Security Plugin 2.49及之前版本中的 src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.jav文件保存清静误差。。。。攻击者可使用该误差在Jenkins master JVM上执行恣意代码。。。。

CVE-2019-1003001

Pipeline:Groovy Plugin是其中的一个基于Java开发的一连集成工具中的流程构建插件。。。。

CloudBees Pipeline: Groovy Plugin 2.61及之前版本中保存清静误差。。。。攻击者可借助pipeline剧本使用该误差绕过沙盒�；；；；；；ぃ�，，，，，在Jenkins master JVM上执行恣意代码。。。。

CVE-2019-1003002

Pipeline:Declarative Plugin是使用在其中的一个指令天生器插件。。。。

CloudBees Pipeline: Declarative Plugin 1.3.3及之前版本中的pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy文件保存清静误差。。。。攻击者可借助pipeline剧本使用该误差绕过沙盒�；；；；；；ぃ�，，，，，在Jenkins master JVM上执行恣意代码。。。。

修复建议

将Jenkins的plugins升级至其修复版本：

1. 将Declarative Plugin更新至1.3.4.1版：https://plugins.jenkins.io/pipeline-model-definition

2. 将Groovy Plugin 更新至2.61.1版：https://plugins.jenkins.io/workflow-cps

3. 将Security Plugin更新至1.50版：https://plugins.jenkins.io/script-security

参考链接

https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究