首页 > 清静研究 > 清静转达 > 清静通告

Jenkins插件清静误差清静通告

宣布时间 2019-09-03

?误差编号和级别

CVE编号：CVE-2019-10348，，，，危险级别：高危，，，，CVSS分值：8.8
CVE编号：CVE-2019-10350，，，，危险级别：高危，，，，CVSS分值：8.8
CVE编号：CVE-2019-10351，，，，危险级别：高危，，，，CVSS分值：8.8
CVE编号：CVE-2019-10378，，，，危险级别：中危，，，，CVSS分值：5.3

CVE编号：CVE-2019-10385，，，，危险级别：中危，，，，CVSS分值：6.5

?影响版本

受影响的版本

万利国际官网(中国游)有限公司

?误差概述

Jenkins是一种普遍使用的开源自动化效劳器，，，，允许DevOps开发职员高效、可靠地构建，，，，测试和安排软件。。。。为了充分使用Jenkins的模�？？？？？？？榛芄�，，，，开发职员使用插件来扩展其焦点功效，，，，允许他们扩展构建办法的剧本功效。。。。Jenkins的插件索引中有凌驾1,600个社区孝顺的插件。。。。其中一些插件存储未加密的纯文本凭证。。。。若是爆发数据泄露，，，，网络犯法分子可以在组织未知情的情形下会见这些数据。。。。使用影响Jenkins插件的误差来窃取敏感用户凭证，，，，当具有扩展读取权限或会见主文件系统的用户的凭证泄露时，，，，攻击者也可以会见其他集成效劳，，，，特殊是若是用户对差别的平台或效劳使用相同的密码时。。。。

研究者披露隐藏在纯文本中的Jenkins插件误差如下：

CVE-2019-10348

Gogs Plugin是使用在Jenkins的一个将Gogs（自托管Git效劳）集成到Jenkins中的插件。。。。Jenkins中的Gogs插件保存清静误差，，，，该误差源于程序将凭证存储为明文形式。。。。攻击者可使用该误差审查凭证。。。。

CVE-2019-10350

Port Allocator Plugin是使用在Jenkins的一个TCP端口分派治理插件。。。。Jenkins中的Port Allocator插件保存清静误差，，，，该误差源于程序将凭证存储为明文形式。。。。攻击者可使用该误差审查凭证。。。。

CVE-2019-10351

Caliper CI Plugin是使用在Jenkins的一个Caliper CI插件。。。。Jenkins Caliper CI Plugin中保存清静误差，，，，该误差源于程序将凭证存储为明文形式。。。。攻击者可使用该误差审查凭证。。。。

CVE-2019-10378

Jenkins中的TestLink Plugin 3.16及之前版本保存信息泄露误差。。。。该误差源于网络系统或产品在运行历程中保存设置等过失。。。。未授权的攻击者可使用误差获取受影响组件敏感信息。。。。

CVE-2019-10385

Jenkins eggPlant Plugin 2.2及之前版本中保存信息泄露误差，，，，该误差源于程序凭证存储为明文形式。。。。攻击者可使用该误差审查凭证。。。。

?误差验证

暂无POC/EXP。。。。

?修复建议

CVE-2019-10348

现在厂商已宣布升级补丁以修复误差，，，，补丁获取链接：https://jenkins.io/security/advisory/2019-07-11/。。。。

其它几个误差现在厂商暂未宣布修复步伐解决此清静问题，，，，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决步伐：https://jenkins.io/。。。。

?参考链接

https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

Jenkins插件清静误差清静通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线