Jenkins插件远程代码执行误差清静通告

宣布时间 2019-02-22

误差编号和级别


CVE编号:CVE-2019-1003000,危险级别:高危,CVSS分值:8.8

CVE编号:CVE-2019-1003001,危险级别:高危,CVSS分值:8.8

CVE编号:CVE-2019-1003002,危险级别:高危,CVSS分值:8.8


影响规模


受影响版本: 

Pipeline: Declarative Plugin 1.3.4及之前版本

Pipeline: Groovy Plugin 2.61及之前版本

Script Security Plugin 1.49及之前版本


误差概述


CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的一连集成工具,该工具主要用于监控秩序重复的事情。


2019年1月8日,Jenkins宣布清静通告,此次的清静通告更新修复了Jenkins的Script Security以及Pipeline Plugins等插件的sandbox bypass远程代码执行误差。误差编号划分为CVE-2019-1003000(Script Security)、CVE-2019-1003001 (Pipeline: Groovy)、CVE-2019-1003002 (Pipeline: Declarative)。


CVE-2019-1003000


Script Security是其中的一个用于检测剧本清静性的插件。


CloudBees Script Security Plugin 2.49及之前版本中的 src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.jav文件保存清静误差。攻击者可使用该误差在Jenkins master JVM上执行恣意代码。


CVE-2019-1003001


Pipeline:Groovy Plugin是其中的一个基于Java开发的一连集成工具中的流程构建插件。


CloudBees Pipeline: Groovy Plugin 2.61及之前版本中保存清静误差。攻击者可借助pipeline剧本使用该误差绕过沙盒掩护,在Jenkins master JVM上执行恣意代码。


CVE-2019-1003002


Pipeline:Declarative Plugin是使用在其中的一个指令天生器插件。


CloudBees Pipeline: Declarative Plugin 1.3.3及之前版本中的pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy文件保存清静误差。攻击者可借助pipeline剧本使用该误差绕过沙盒掩护,在Jenkins master JVM上执行恣意代码。


修复建议


Jenkinsplugins升级至其修复版本: 

1.       将Declarative Plugin更新至1.3.4.1版:https://plugins.jenkins.io/pipeline-model-definition

2.       将Groovy Plugin 更新至2.61.1版:https://plugins.jenkins.io/workflow-cps

3.       将Security Plugin更新至1.50版:https://plugins.jenkins.io/script-security


参考链接


https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266