RHCOS 4 : OpenShift Container Platform 4.1 jenkins-2-plugins (RHSA-2019:4089)

critical Nessus プラグイン ID 312503

Language:

概要

リモートのRed Hat CoreOSホストには、jenkins-2-plugins 4.1 OpenShift Container Platformのセキュリティアップデートが1つ以上欠けています。

説明

リモート Red Hat Enterprise Linux CoreOS 4 ホストに、RHSA-2019:4089 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- jenkins-script-security-plugin:メソッド呼び出し式におけるメソッド名の処理により、攻撃者がサンドボックス化されたスクリプトで任意のコードを実行できるようになりました(CVE-2019-10393)

- jenkins-script-security-plugin:割り当て式の左側にあるプロパティ式のプロパティ名の処理は、サンドボックススクリプトで任意のコードを実行する(CVE-2019-10394)

- jenkins-script-security-plugin:プロパティ表現のインクリメントおよびデクリメント表現におけるプロパティ名の処理により、攻撃者はサンドボックススクリプト(CVE-2019-10399)で任意のコードを実行できるようになりました。

- jenkins-script-security-plugin:実際の割り当てを伴わないインクリメント・デクリメント式のサブ式の処理により、攻撃者はサンドボックススクリプト内で任意のコードを実行できるようになりました(CVE-2019-10400)

- jenkins-script-security:スクリプトセキュリティプラグイン(CVE-2019-10431)におけるサンドボックス回避脆弱性

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。