Jenkins Enterprise および Operations Center 2.346.x< 2.346.40.0.14の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2023 年 4 月 5 日)
high Nessus プラグイン ID 173922
Language:
概要
リモートの Web サーバーでホストされているジョブスケジューリング/管理システムは、複数の脆弱性の影響を受けます。説明
リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.346.40.0.14 より前の 2.346.xです。そのため、以下を含む複数の脆弱性による影響を受けます :- CloudBees バックアッププラグインは、承認者マップに SHA-1 ハッシュを使用します (BEE-29578)
- CloudBees パイプライン: 安全でない SnakeYaml コンストラクターで使用されるテンプレート (BEE-30448)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Jenkins Enterprise または Jenkins Operations Center をバージョン 2.346.40.0.14以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 173922
ファイル名: cloudbees-security-advisory-2023-04-05.nasl
バージョン: 1.0
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: CGI abuses
公開日: 2023/4/5
更新日: 2023/4/5
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
脆弱性情報
CPE: cpe:/a:cloudbees:jenkins
必要な KB アイテム: installed_sw/Jenkins
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/4/5
脆弱性公開日: 2023/4/5