Jenkins < 1.583 / 1.565.3 および Jenkins Enterprise 1.532.x / 1.554.x / 1.565.x < 1.532.10.1 / 1.554.10.1 / 1.565.3.1 複数の脆弱性

critical Nessus プラグイン ID 78859

Language:

概要

リモートのWebサーバーで、多数の脆弱性の影響を受けるジョブスケジュール・管理システムがホストされています。

説明

リモート Web サーバーは、複数の脆弱性の影響を受けるバージョンの Jenkins（オープンソース）または CloudBees Jenkins Enterprise をホストしています：

- ファイルアップロード処理に関連するしエラーが存在し、リモートの攻撃者が任意のファイルを上書きする可能性があります。
（CVE-2013-2186）

-含まれている「ZeroClipboard」コンポーネントに関連して、入力検証エラーが存在し、クロスサイトスクリプティング攻撃の可能性があります。（CVE-2014-1869）

-「CLI ハンドシェイク」処理に関連するエラーが存在するため、DoS 攻撃（サービス拒否攻撃）を実行できる可能性があります。（CVE-2014-3661）

- 存在しないか正しくないアカウント名を使用したログインの試みを処理することに関連するエラーが存在し、リモートの攻撃者がアプリケーションのユーザー名を列挙する可能性があります。
（CVE-2014-3662）

- 「Job/CONFIGURE」権限を持つユーザーの処理に関連するエラーが存在し、そうしたユーザーが「Job/CREATE」権限のみ許されているアクションを実行できる可能性があります。
（CVE-2014-3663）

-「Overall/READ」権限を持つユーザーの処理に関連してエラーが存在し、ディレクトリトラバーサル攻撃の可能性があります。（CVE-2014-3664）

- 「CLI チャネル」に関連するエラーが存在し、Jenkins マスター上のリモートの攻撃者が任意のコードを実行する可能性があります。（CVE-2014-3666）

- 「Overall/READ」権限を持つユーザーの処理に関連するエラーが存在し、プラグインのソースコードが漏洩する可能性があります。（CVE-2014-3667）

-「Monitoring」プラグインに関連する入力検証エラーが存在し、クロスサイトスクリプティング攻撃の可能性があります。（CVE-2014-3678）

- 「Monitoring」プラグインに関連するエラーが存在し、機密情報に対して認証されないアクセスがある可能性があります。
（CVE-2014-3679）

- 「Job/READ」権限を持つユーザーの処理に関連するエラーが存在し、そうしたユーザーがパラメータ化されたジョブに属するデフォルトのパスワードを取得する可能性があります。（CVE-2014-3680）

-クロスサイトスクリプティング攻撃を可能にする詳細不明な入力検証エラーがあります。（CVE-2014-3681）