FreeBSD:jenkins -- 複数の脆弱性(7480b6ac-adf1-443e-a33c-3a3c0becba1e)
high Nessus プラグイン ID 81587
Language:
概要
リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。説明
Jenkins チームの Kohsuke Kawaguchi 氏による報告:DescriptionSECURITY-125(コンビネーションフィルター Groovy スクリプトが安全ではありません)この脆弱性により、ジョブ構成権限のあるユーザーが、権限を昇格し、マスターに任意のコードを実行する可能性があります。SECURITY-162(シンボリックリンクによるアーチファクトからのディレクトリトラバーサル)この脆弱性により、ジョブ構成権限のあるユーザーまたはビルドスクリプトに対するコミットアクセスのあるユーザーが、マスターの任意のファイル/ディレクトリにアクセスする可能性があり、暗号キーなどの機密情報が漏洩する可能性があります。SECURITY-163(更新センターメタデータ取得の DoS 攻撃)この脆弱性により、認証されたユーザーが、悪意のある更新センターデータを Jenkins にフィードすることにより、Jenkins の操作を中断する可能性があります。この結果、プラグインのインストールとツールのインストールに影響を与える可能性があります。SECURITY-165(XPath を介した外部エンティティインジェクション)この脆弱性により、Jenkins に対する読み取りアクセスのあるユーザーが、サーバーの任意の XML ドキュメントを取得する可能性があります。この結果、Jenkins の内外で機密情報が漏洩する可能性があります。SECURITY-166(HudsonPrivateSecurityRealm により、予約した名前が作成される可能性があります)「Jenkins の固有ユーザーデータベース」設定を使用しているユーザーに対して、Jenkins は予約した名前を拒絶しないため、権限が昇格される可能性があります。
SECURITY-167(XML の外部エンティティ処理により機密性の高いローカルファイルが漏洩する可能性があります)この脆弱性により、攻撃者が悪意のある XML ドキュメントを作成し、Jenkins にフィードする可能性があります。これにより、Jenkins がサーバーの任意の XML ドキュメントを取得し、Jenkins の内外で機密情報が漏洩される可能性があります。SECURITY-125 は「重要度最高」とレーティングされています。この攻撃は、ある程度信頼できるユーザーにしか仕掛けることができませんが、マスターで任意のコードの実行を引き起こします。
SECURITY-162 は「重大」とレーティングされています。この攻撃は、ある程度信頼できるユーザーにしか仕掛けることができませんが、機密情報の漏洩を引き起こします。
SECURITY-163 は、機能の損失につながるため、重要度中としてレーティングされています。
SECURITY-165 は「重大」とレーティングされています。この攻撃は容易に仕掛けることができ、機密情報の漏洩を引き起こします。
SECURITY-166 は「重大」とレーティングされています。影響を受ける機能を使用するユーザーに対して、この攻撃はマスターで任意のコードの実行を引き起こします。
SECURITY-167 は「重大」とレーティングされています。この攻撃は容易に仕掛けることができ、機密情報の漏洩を引き起こします。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 81587
ファイル名: freebsd_pkg_7480b6acadf1443ea33c3a3c0becba1e.nasl
バージョン: 1.4
タイプ: local
公開日: 2015/3/2
更新日: 2021/1/6
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:jenkins, p-cpe:/a:freebsd:freebsd:jenkins-lts, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2015/3/1
脆弱性公開日: 2015/3/1