FreeBSD：jenkins -- マスター暗号キー取得のための HTTP アクセス（3a65d33b-5950-11e2-b66b-00e0814cab4e）

high Nessus プラグイン ID 63401

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Jenkins セキュリティアドバイザリによる報告：

このアドバイザリでは、Jenkins コアに見つかっているセキュリティ上の脆弱性を発表しています。

攻撃者が、このマスター暗号キーを利用して、リモートコードの実行攻撃を Jenkins マスターに仕掛けたり、REST API 呼び出しを行う際に任意のユーザーになりすましたりする可能性があります。

特定のインストールに当てはまる可能性のあるこれらの問題の一部を緩和する要素は、いくつか存在します。

- 特定の攻撃ベクトルは、スレーブ搭載の Jenkins インスタンスのみに適用され、匿名の読み取りアクセスを許します。

- Jenkins ではユーザーが API トークンを再生成することが可能です。これらの再生成された API トークンは、攻撃者に偽装されることはありません。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?0f8bc6d8

http://www.nessus.org/u?d9ac4ef7

プラグインの詳細

深刻度: High

ID: 63401

ファイル名: freebsd_pkg_3a65d33b595011e2b66b00e0814cab4e.nasl

バージョン: 1.5

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2013/1/8

更新日: 2021/1/6

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:jenkins, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2013/1/8

脆弱性公開日: 2013/1/4