Jenkins プラグインの複数の脆弱性 (2022-01-12)

high Nessus プラグイン ID 156930

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートの Web サーバーで実行されている Jenkins プラグインのバージョンは、2.25.1 より前のJenkins Active Directory Plugin、1.9.1 より前の Badge Plugin、746 より前の Bitbucket Branch Source プラグイン、1.55.1 より前のコードプラグインとしての構成、Conjur Secretsプラグイン 1.0.9以前、Credentials Binding プラグイン 1.27.1より前、Debian Package Builder プラグイン 1.6.11以前、Docker Commons プラグイン 1.18より前、HashiCorp Vault プラグイン 3.8.0より前、Mailer プラグイン 408 より前、Matrix Project プラグイン 1.20より前、Metrics プラグイン 4.0.2.8.1より前、Publish Over SSH プラグイン 1.22以前、SSH Agent プラグイン 1.23.2より前、Warnings Next Generation プラグイン 9.10.3より前、バッチタスクプラグイン 1.19以前です。したがって、複数の脆弱性による影響を受けます。

- Jenkins 2.329以前、LTS 2.319.1以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、セキュリティレルムが設定されていない場合、攻撃者がパラメーターなしでジョブのビルドをトリガーする可能性があります。
(CVE-2022-20612)

- Jenkins Mailer Plugin 391.ve4a_38c1b_cf4b_ 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者は、Jenkins インスタンスが使用する DNS を使用して、攻撃者が指定したホスト名を解決できます。 (CVE-2022-20613)

- Jenkins Mailer Plugin 391.ve4a_38c1b_cf4b_ 以前の権限チェックの欠落により、 Overall/Read アクセス権がある攻撃者が Jenkins インスタンスにより DNS を使用し、攻撃者が指定したホスト名を解決できます。
(CVE-2022-20614)

- Jenkins Matrix Project プラグイン 1.19以前では、 ノードおよびラベル名、ラベルディスクリプションの HTML のメタ文字エスケープしません。そのため、Agent/Configure 権限を持つ攻撃者による悪用が可能な蓄積型のクロスサイトスクリプティングの脆弱性を持つに至ります。 (CVE-2022-20615)

- Jenkins Credentials Binding プラグイン 1.27以前では、フォーム検証を実装するメソッドで権限チェックを実行しないため、Overall/Read アクセス権を持つ攻撃者は、認証情報 ID が秘密ファイル認証情報を参照しているかどうか、それが zip ファイルであるかどうかを検証できます。 (CVE-2022-20616)

- Jenkins Docker Commons プラグイン 1.17以前は、イメージまたはタグの名前をサニタイズしないため、Item/Configure 権限を持つ攻撃者がOSコマンド実行の脆弱性を悪用したり、以前に構成されたジョブの SCM リポジトリのコンテンツを制御できるようになります。 (CVE-2022-20617)

- Jenkins Bitbucket Branch Source プラグイン 737.vdf9dc06105be 以前では権限チェックが欠落しているため、Overall/Read アクセス権を持つ攻撃者が、Jenkins に保存されている認証情報の認証情報 ID を列挙する可能性があります。
(CVE-2022-20618)

- Jenkins Bitbucket Branch Source プラグイン 737.vdf9dc06105be 以前の クロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者は、別の方法で取得した攻撃者指定の認証情報 ID を使用して攻撃者指定の URL に接続し、Jenkins に保存されている認証情報をキャプチャすることができます。
(CVE-2022-20619)

- Jenkins SSH Agent プラグイン 1.23以前では権限チェックが欠落しているため、Overall/Read アクセス権を持つ攻撃者が、Jenkins に保存されている認証情報の認証情報 ID を列挙する可能性があります。(CVE-2022-20620)

- Jenkins Metrics プラグイン 4.0.2.8以前では、アクセスキーは暗号化されていない状態で Jenkins コントローラーのグローバル構成ファイルに保存され、Jenkins コントローラーファイルシステムへのアクセス権を持つユーザーが表示できます。(CVE-2022-20621)

- Jenkins Active Directory プラグイン 2.25以前では、ほとんどの構成で Jenkins コントローラーと Active Directory サーバー間のデータ転送が暗号化されません。 (CVE-2022-23105)

-Code Plugin 1.55以前のJenkins Configuration は、認証トークンを検証する際に、一定でない時間比較関数を使用していました。これにより、攻撃者は統計的方法を使用して、有効な認証トークンを取得することができました。 (CVE-2022-23106)

- Jenkins Warnings Next Generation プラグイン 9.10.2以前では、カスタム ID の構成時にファイル名が制限されないため、Item/Configure 権限を持つ攻撃者が、Jenkins コントローラーファイルシステムでハードコードされたサフィックスを持つ特定のファイルを読み書きする可能性があります。 (CVE-2022-23107)

- Jenkins Badge Plugin 1.9以前では、バッジを作成する際に、ディスクリプションをエスケープし、許可されたプロトコルをチェックしないため、蓄積型のクロスサイトスクリプティングの脆弱性が、Item/Configure 権限を持つ攻撃者により悪用されやすくなります。(CVE-2022-23108)

- Jenkins HashiCorp Vault プラグイン 3.7.0以前では、Pipeline が次の場合に、Pipeline ビルドログまたは Pipeline ステップの説明で Vault の認証情報がマスクされません:Groovy プラグイン 2.85以降がインストールされている。 (CVE-2022-23109)

- Jenkins Publish Over SSH プラグイン 1.22以前では、SSH サーバー名をエスケープしません。そのため、蓄積型のクロスサイトスクリプティング (XSS) の脆弱性が Overall/Administer 権限を持つ攻撃者により悪用されやすくなります。 (CVE-2022-23110)

- Jenkins Publish Over SSH プラグイン 1.22以前のクロスサイトリクエストフォージェリ (CSRF) により、攻撃者は攻撃者が指定した 認証情報を使用して、攻撃者が指定した SSH サーバーにアクセスすることが可能です。
(CVE-2022-23111)

- Jenkins Publish Over SSH プラグイン 1.22以前に権限チェックが欠落しているため、Overall/Read アクセス権を持つ攻撃者は、攻撃者がして下認証情報を使用して、攻撃者が指定した SSH サーバーにアクセスすることが可能です。
(CVE-2022-23112)

- Jenkins Publish Over SSH プラグイン 1.22以前では、ファイル名の有無を指定するファイル名の検証を実行するため、パストラバーサルの脆弱性が存在し、Item/Configure 権限を持つ攻撃者が Jenkinsコントローラーファイルの名前を発見する可能性があります。 (CVE-2022-23113)

- Jenkins Publish Over SSH プラグイン 1.22以前では、Jenkins コントローラーでグローバル構成ファイルに蓄積されたパスワードが暗号化されていません。それで Jenkins コントローラーファイルシステムへのアクセス権があるユーザーはそれを閲覧することが可能です。(CVE-2022-23114)

- Jenkins バッチタスクプラグイン 1.19以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、Overall/Read アクセス権を持つ攻撃者が、ログタスクを取得したり、バッチタスクを削除したりする可能性があります。 (CVE-2022-23115)

- Jenkins Conjur Secrets Plugin 1.0.9以前では、攻撃者がエージェントプロセスを制御して、別の方法で取得した Jenkins に保存されている秘密を復号できる機能を実装しています。
(CVE-2022-23116)

- Jenkins Conjur Secrets プラグイン 1.0.9以前では、エージェントプロセスを制御できる攻撃者が Jenkins コントローラーに保存されたすべてのユーザー名/パスワードの認証情報を取得できる機能を実装しています。
(CVE-2022-23117)

- Jenkins Debian Package Builder プラグイン 1.6.11以前では、エージェントがコントローラーの攻撃者指定のパスでコマンドライン「git」を呼び出すことを可能にする機能を実装しています。これにより、攻撃者は、エージェントプロセスを制御して、コントローラーの任意の OS コマンドを呼び出すことができます。 (CVE-2022-23118)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Warnings Next Generation プラグインをバージョン 9.10.3以降に、SSH Agent プラグインをバージョン 1.23.2以降に、Metrics プラグインをバージョン 4.0.2.8.1以降に、Matrix Project プラグインをバージョン 1.20以降に、Mailer プラグインをバージョン 408. 以降に、HashiCorp Vault プラグインをバージョン 3.8.0以降に、Docker Commons プラグインをバージョン 1.18以降に、Credentials Binding プラグインをバージョン 1.27.1以降に、コードプラグインとしての構成をバージョン 1.55.1以降に、Bitbucket Branch Source プラグインをバージョン 746. 以降に、Badge プラグインをバージョン 1.9.1以降に、Active Directory プラグインをバージョン 2.25.1以降にアップグレードしてください

関連情報

https://jenkins.io/security/advisory/2022-01-12

プラグインの詳細

深刻度: High

ID: 156930

ファイル名: jenkins_security_advisory_2022-01-12_plugins.nasl

バージョン: 1.6

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2022/1/21

更新日: 2022/4/11

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2022-23118

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9

Temporal Score: 6.7

ベクトル: AV:N/AC:L/Au:S/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/1/12

脆弱性公開日: 2022/1/12

参照情報

CVE: CVE-2022-20612, CVE-2022-20613, CVE-2022-20614, CVE-2022-20615, CVE-2022-20616, CVE-2022-20617, CVE-2022-20618, CVE-2022-20619, CVE-2022-20620, CVE-2022-20621, CVE-2022-23105, CVE-2022-23106, CVE-2022-23107, CVE-2022-23108, CVE-2022-23109, CVE-2022-23110, CVE-2022-23111, CVE-2022-23112, CVE-2022-23113, CVE-2022-23114, CVE-2022-23115, CVE-2022-23116, CVE-2022-23117, CVE-2022-23118

IAVA: 2022-A-0027-S, 2022-A-0084