検出

Jenkins < 2.84 / < 2.73.2(LTS)の複数の脆弱性

high Nessus プラグイン ID 125706

Language:

概要

リモートのWebサーバーで、多数の脆弱性の影響を受けるジョブスケジュール・管理システムがホストされています。

説明

リモートWebサーバーは、2.84より前のJenkinsのバージョンかまたは2.73.2より前のJenkins LTSのバージョンです。したがって、次の脆弱性の影響を受けます:
 -デフォルトの権限の設定が不十分なため、リモートでコマンドを実行する脆弱性が起動メソッドコンポーネントにあります。認証されたリモートの攻撃者がこれを悪用し、任意のコマンドを実行する可能性があります。(CVE-2017-1000393)

 - Jenkinsにバンドルされているcommons-fileuploadライブラリにサービス拒否(DoS)の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、長い境界文字列を供給することによって、アプリケーションの応答を停止させる可能性があります。(CVE-2017-1000394)

 - リモートのAPIコンポーネントに、情報漏えいの脆弱性があります。認証されたリモートの攻撃者がこれを悪用し、セキュリティで保護されていないAPIエンドポイントからデータをリクエストすることによって、システム上のユーザーに関する秘密情報を漏えいする可能性があります(CVE-2017-1000395)。

ソリューション

Jenkinsをバージョン2.84以降にアップグレードしてください。Jenkins LTSの場合は、バージョン2.73.2以降にアップグレードしてください。

参考資料

https://jenkins.io/security/advisory/2017-10-11/

https://jenkins.io/changelog/

https://jenkins.io/changelog-stable/

プラグインの詳細

深刻度: High

ID: 125706

ファイル名: jenkins_security_advisory_2017-10-11.nasl

バージョン: 1.4

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2019/6/5

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2017-1000393

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/10/9

脆弱性公開日: 2017/10/11

参照情報

CVE: CVE-2017-1000393, CVE-2017-1000394, CVE-2017-1000395, CVE-2017-1000396, CVE-2017-1000398, CVE-2017-1000399, CVE-2017-1000400, CVE-2017-1000401

BID: 104303, 104304, 104305, 104306, 104951