検出

Jenkins プラグインの複数の脆弱性 (2022 年 11 月 15 日)

critical Nessus プラグイン ID 179362

Language:

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告によるバージョン番号によると、リモート Web サーバー上で実行されているバージョンの Jenkins プラグインは、次の複数の脆弱性の影響を受けます。

 - Jenkins Script Security プラグイン 1189.vb_a_b_7c8fd5fde 以前は、スクリプト全体の承認をスクリプトの SHA-1 ハッシュとして保存するため、衝突攻撃の脆弱性が存在します。(CVE-2022-45379)

 - Jenkins JUnit Plugin 1159.v0b_396e1e07dd 以前では、テストレポート出力で HTTP(S) URL を安全でない方法でクリック可能なリンクに変換するため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生し、Item/Configure アクセス許可を持つ攻撃者が悪用できる可能性があります。(CVE-2022-45380)

 - Apache Commons Configuration は変数補間を実行し、プロパティを動的に評価および拡張できます。補間の標準形式は ${prefix: name} です。ここで、prefix は、補間を実行する org.apache.commons.configuration2.interpol.Lookup のインスタンスを見つけるために使用されます。バージョン 2.4 から 2.7 までは、デフォルトの Lookup インスタンスのセットにインターポレーターが含まれ、任意のコードの実行またはリモートサーバーとの接続を引き起こす可能性があります。これらの検索は以下の通りです。- スクリプト - JVM スクリプト実行エンジン (javax.script) を使用して式を実行します - dns
 - dns レコードを解決します - url - リモートサーバーからも含めて、urls から値を読み込みます。影響を受けるバージョンで補間デフォルトを使用しているアプリケーションは、リモートコードの実行や、信頼できない構成値が使用された場合のリモートサーバーとの意図しない接続に対して脆弱な場合があります。ユーザーは、問題のあるインターポレーターをデフォルトで無効にする Apache Commons Configuration 2.8.0 にアップグレードすることが推奨されます。(CVE-2022-33980)

 - Jenkins Pipeline Utility Steps プラグイン 2.13.1 以前では、有効なプレフィックスインターポレーターのセットを制限せず、「file: 」prefix 補間子をデフォルトで有効にする Apache Commons Configuration ライブラリのバンドルバージョンを許可しています。これにより、攻撃者がパイプラインを設定して Jenkins コントローラーファイルシステムから任意のファイルを読み取ることができる脆弱性が存在します。(CVE-2022-45381)

 - Jenkins Naginator プラグイン 1.18.1 以前は、Retry アクションを介してトリガーされたビルド内のソースビルド表示名をエスケープしません。そのため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生し、ビルド表示名を編集できる攻撃者によって悪用される可能性があります。(CVE-2022-45382)

 - Jenkins Support Core プラグイン 1206.v14049fa_b_d860 以前の不適切な権限チェックにより、Support/DownloadBundle アクセス許可を持つ攻撃者が、Overall/Administer アクセス許可を持つユーザーに限定された情報を含む、以前に作成されたサポートバンドルをダウンロードする可能性があります。(CVE-2022-45383)

 - Jenkins Reverse Proxy Auth プラグイン 1.7.3 以前では、Jenkins コントローラーでグローバル config.xml ファイルに蓄積された LDAP マネージャーのパスワードが暗号化されていません。そのため Jenkins コントローラーファイルシステムへのアクセス権がある攻撃者がそれを閲覧できる可能性があります。(CVE-2022-45384)

 - Jenkins CloudBees Docker Hub/Registry Notification プラグイン 2.6.2 以前ではアクセス許可チェックが行われないため、認証されていない攻撃者が、攻撃者が指定したリポジトリに対応するジョブのビルドを発生させる可能性があります。(CVE-2022-45385)

 - Jenkins NS-ND Integration Performance Publisher プラグイン 4.8.0.143 およびそれ以前では、パスワードは暗号化されていない状態で Jenkins コントローラーのジョブの config.xml ファイルに保存します。そのため、攻撃者が Extended Read アクセス許可か、Jenkins コントローラーのファイルシステムにアクセス権を持っている場合、それを表示できる可能性があります。(CVE-2022-45392)

 - Jenkins NS-ND Integration Performance Publisher プラグイン 4.8.0.143 以前では、Jenkins コントローラーの JVM 全体に対して、SSL/TLS 証明書とホスト名の検証をグローバルかつ無条件で無効化します。
 (CVE-2022-45391)

 - Jenkins NS-ND Integration Performance Publisher プラグイン 4.8.0.146 以前では、いくつかの機能に対して、SSL/TLS 証明書とホスト名の検証を無条件で無効化します。(CVE-2022-38666)

 - Jenkins Violations プラグイン 0.7.11 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを設定していません。(CVE-2022-45386)

 - Jenkins BART プラグイン 1.0.3 以前は、Jenkins UI 上でビルドログの解析されたコンテンツをレンダリングする際に、適切にエスケープされていないため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。(CVE-2022-45387)

 - Jenkins Config Rotator プラグイン 2.0.1 およびそれ以前では、HTTP エンドポイント内のファイル名クエリパラメータが制限されていないため、認証されていない攻撃者が Jenkins コントローラーファイルシステム上の「.xml」拡張子を持つ任意のファイルを読み取ることができる脆弱性が存在します。(CVE-2022-45388)

 - Jenkins XP-Dev プラグイン 1.0 以前ではアクセス許可チェックが行われないため、認証されていない攻撃者が、攻撃者が指定したリポジトリに対応するジョブのビルドを発生させる可能性があります。(CVE-2022-45389)

 - Jenkins loader.io プラグイン 1.0.1以前では、Overall / Read 権限のある攻撃者が Jenkins に蓄積された認証情報の認証情報 ID を列挙することが可能です。(CVE-2022-45390)

 - Jenkins Delete log プラグイン 1.0 以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者がビルドのログを削除する可能性があります。(CVE-2022-45393)

 - Jenkins Delete log プラグイン 1.0 以前に権限チェックがないため、Item/Read アクセス許可を持つ攻撃者が、ビルドログを削除する可能性があります。(CVE-2022-45394)

 - Jenkins CCCC プラグイン 0.6 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを設定していません。(CVE-2022-45395)

 - Jenkins SourceMonitor プラグイン 0.2 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを設定していません。(CVE-2022-45396)

 - Jenkins OSF Builder Suite: : XML Linter プラグイン 1.0.2 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを設定していません。(CVE-2022-45397)

 - Jenkins Cluster Statistics プラグイン 0.4.6 以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者が記録された Jenkins Cluster Statistics を削除できます。(CVE-2022-45398)

 - Jenkins Cluster Statistics プラグイン 0.4.6 以前では、アクセス許可チェックが欠落しているため、攻撃者が記録された Jenkins Cluster Statistics を削除できます。(CVE-2022-45399)

 - Jenkins JAPEX プラグイン 1.7 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを設定していません。(CVE-2022-45400)

 - Jenkins Associated Files プラグイン 0.2.1 およびそれ以前は、関連ファイルの名前がエスケープされていないため、Item/Configure アクセス許可を持つ攻撃者によって悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が存在します。
 (CVE-2022-45401)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Jenkins プラグインを次のバージョンに更新してください。
 - Associated Files プラグイン: ベンダーのアドバイザリを参照してください
 - BART プラグイン: ベンダーのアドバイザリを参照してください
 - CCCC プラグイン: ベンダーのアドバイザリを参照してください
 - CloudBees Docker Hub/Registry Notification プラグインバージョン 2.6.2.1 以降
 - Cluster Statistics プラグイン: ベンダーのアドバイザリを参照してください
 - Config Rotator プラグイン: ベンダーのアドバイザリを参照してください
 - Delete log プラグイン: ベンダーのアドバイザリを参照してください
 - JAPEX プラグイン: ベンダーのアドバイザリを参照してください
 - JUnit プラグインバージョン 1160.vf1f01a_a_ea_b_7f 以降
 - loader.io プラグイン: ベンダーのアドバイザリを参照してください
 - Naginator バージョン 1.18.2 以降
 - NS-ND Integration Performance Publisher プラグイン: ベンダーのアドバイザリを参照してください
 - OSF Builder Suite : : XML Linter プラグイン: ベンダーのアドバイザリを参照してください
 - Pipeline Utility Steps プラグインバージョン 2.13.2 以降
 - Reverse Proxy Auth プラグインバージョン 1.7.4 以降
 - Script Security プラグインバージョン 1190.v65867a_a_47126 以降
 - SourceMonitor プラグイン: ベンダーのアドバイザリを参照してください
 - Support Core プラグインバージョン 1206.1208.v9b_7a_1d48db_0f 以降
 - Violations プラグイン: ベンダーのアドバイザリを参照してください
 - XP-Dev プラグイン: ベンダーのアドバイザリを参照してください

詳細については、ベンダーアドバイザリを参照してください。

参考資料

https://jenkins.io/security/advisory/2022-11-15

プラグインの詳細

深刻度: Critical

ID: 179362

ファイル名: jenkins_security_advisory_2022-11-15_plugins.nasl

バージョン: 1.1

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2023/8/4

更新日: 2023/8/7

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-33980

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2022-45400

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/11/15

脆弱性公開日: 2022/7/6

参照情報

CVE: CVE-2022-33980, CVE-2022-38666, CVE-2022-45379, CVE-2022-45380, CVE-2022-45381, CVE-2022-45382, CVE-2022-45383, CVE-2022-45384, CVE-2022-45385, CVE-2022-45386, CVE-2022-45387, CVE-2022-45388, CVE-2022-45389, CVE-2022-45390, CVE-2022-45391, CVE-2022-45392, CVE-2022-45393, CVE-2022-45394, CVE-2022-45395, CVE-2022-45396, CVE-2022-45397, CVE-2022-45398, CVE-2022-45399, CVE-2022-45400, CVE-2022-45401