美国时间2017年12月08日,
Jenkins
官方安全公告披露两个安全漏洞,CVE漏洞编号为:
CVE-2017-1000391、
CVE-2017-1000392,
两个漏洞官方评级为低危,用户可以根据业务情况选择修复漏洞。
具体详情如下:
漏洞编号:
CVE-2017-1000391
CVE-2017-1000392
漏洞名称:
CVE-2017-1000391-不安全地使用用户名称作为目录名称
CVE-2017-1000392-XSS漏洞
官方评级:
低危
漏洞描述:
CVE-2017-1000391-不安全地使用用户名称作为目录名称
Jenkins在与磁盘上的用户ID相对应的目录中存储与包含实际用户帐户的人员相关的元数据,以及出现在SCM中的用户。这些目录使用用户名作为他们的名字而没有额外的转义。这可能会导致一些问题,如下所示:
- 由一个正斜杠组成的用户名将把他们的用户记录存储在父目录中;删除此用户删除了所有的用户记录。
- 包含字符序列(如..)的用户名可以用来在Jenkins中打开其他配置文件。
- 用户名可以包含保留的名称,如COM(在Windows上)。
- 这不仅限于Jenkins用户数据库安全领域,其他安全领域(如LDAP)可能允许用户在Jenkins中创建导致问题的用户名。
- 用户名现在转换成用作目录名称的文件系统安全表示。
CVE-2017-1000392-自动完成建议中存在持续的XSS漏洞
对于文本字段的自动完成建议未被转义,如果建议的源允许指定包含HTML元字符(如小于号和大于号)的文本,则会导致持续的跨站点脚本攻击漏洞。这些建议之前已知的不安全来源包括日志记录器条件中的记录器名称和代理标签。目前官方已经发布修复补丁,自动完成建议已被转义,不能再包含基于HTML的格式。
漏洞利用条件和方式:
通过PoC直接远程利用。
PoC状态:
未公开
漏洞影响范围:
Jenkins weekly <=2.88
Jenkins LTS <=2.73.2
漏洞检测:
开发人员检查是否使用了受影响版本范围内的Jenkins软件。
漏洞修复建议(或缓解措施):
Jenkins weekly 升级至2.89版本
Jenkins LTS 升级至2.73.3版本
情报来源:
- https://jenkins.io/security/advisory/2017-11-08/