リモート Web サーバーは、複数の脆弱性の影響を受けるバージョンの Jenkins または Jenkins Enterprise をホストします。

  -デファルトのマークアップフォーマッターの欠陥により、ユーザー構成内の説明フィールドを介して、クロスサイトスクリプティングが発生する可能性があります。（CVE-2013-5573）

  -セキュリティバイパスの脆弱性により、リモートの認証された攻撃者が構成を変更して、任意のジョブを実行する可能性があります。（CVE-2013-7285、CVE-2013-7330、CVE-2014-2058）

  -Winstone サーブレットの詳細不明な欠陥により、リモートの攻撃者がセッションをハイジャックする可能性があります。（CVE-2014-2060）

  -「PasswordParameterDefinition」の入力コントロールの欠陥により、リモートの攻撃者がパスワードを含む機密情報を漏洩する可能性があります。（CVE-2014-2061）

  - ユーザーが削除された際に API トークンが無効化されていないことによるセキュリティバイパスの脆弱性。
    （CVE-2014-2062）

  -詳細不明な欠陥により、リモートの攻撃者がクリックジャッキング攻撃を引き起こす可能性があります。（CVE-2014-2063）

  -「loadUserByUsername」関数での情報漏洩の脆弱性により、リモートの攻撃者がログインの失敗に関連するベクトルを通じて、ユーザーの存在の有無を割り出す可能性があります。（CVE-2014-2064）

  -「iconSize」クッキーへの不適切な入力検証による、クロスサイトスクリプティングの脆弱性。
    （CVE-2014-2065）

  - セッション固定の脆弱性により、リモートの攻撃者が Web セッションをハイジャックする可能性があります。（CVE-2014-2066）

  -「hudson/util/RemotingDiagnostics.java」の「doIndex」関数における情報漏洩の脆弱性により、「管理者」権限を有するリモートの認証されたユーザーがヒープダンプを介して、機密情報を取得する可能性があります。（CVE-2014-2068）

この更新は、バックポートされた上流パッチを適用することにより、リモートコード実行のセキュリティの脆弱性を修正しています。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

3.1.1.1 以前の Artifactory のバージョンが、リモート Web サーバーでホストされています。また、既知のリモートコードの実行の脆弱性があるライブラリを使用しています。

1 つのセキュリティ問題を修正する更新済みの jasperreports-server-pro パッケージが、現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat Enterprise Virtualization レポートパッケージは、事前に構成されたレポートと、システムを監視することができるダッシュボードのパッケージを提供します。このレポートモジュールは JasperReports および JasperServer に基づいており、アドホックレポートの作成に使用することもできます。

XStream は、Red Hat Enterprise Virtualization レポートパッケージが使用する単純なライブラリであり、XML の間でオブジェクトのシリアル化と逆シリアル化を行います。

XStream が、あらゆるタイプのオブジェクトを表す、任意のユーザー指定の XML コンテンツを逆シリアル化することが判明しました。XML を XStream に渡すことができるリモートの攻撃者が、この欠陥を利用して、XStream アプリケーションを実行するサーバーのコンテキストでのリモートコードの実行を含む、多様な攻撃を実行する可能性があります。（CVE-2013-7285）

jasperreports-server-pro の全ユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージにアップグレードし、この問題を修正することが推奨されます。

Jenkins セキュリティアドバイザリによる報告：

このアドバイザリでは、Jenkins コアに見つかっている複数のセキュリティ上の脆弱性を発表しています。

- iSECURITY-105

一部の場所では、Jenkins XML API は XStream を使用して任意のコンテンツを逆シリアル化します。これは、XStream に対して報告された CVE-2013-7285 の影響を受けます。
これにより、限定的な権限のセットを持つ Jenkins の悪意のあるユーザーが、Jenkins マスター内で任意のコードを実行することが可能です。

- SECURITY-76 & SECURITY-88 / CVE-2013-5573

ユーザーの編集が可能なコンテンツに対する HTML タグの制限が緩すぎます。これにより、Jenkins の悪意のあるユーザーが、他の無防備なユーザーを騙して機密情報を提供させることが可能です。

- SECURITY-109

SECURITY-55 に対する以前の修正のホールのプラグイン。一部の状況で、Jenkins の悪意のあるユーザーが、ジョブ X を構成して、そのユーザーがアクセス権を持たない他のジョブ Y を発生させる可能性があります。

- SECURITY-108

CLI ジョブ作成に、ディレクトリトラバーサルの脆弱性がありました。これにより、限定的な権限のセットを持つ Jenkins の悪意のあるユーザーが、Jenkins マスターのファイルを上書きし、権限を昇格することが可能です。

- SECURITY-106

埋め込まれた Winstone サーブレットコンテナは、セッションハイジャック攻撃に対して脆弱です。

- SECURITY-93

Jenkins UI のパスワードパラメーター定義のパスワード入力コントロールは、暗号化されたものではなく、HTML のパスワードの実際の値に対して働いていました。機密性のある値がこうしたパラメーター定義のデフォルト値として設定された場合、これが意図しない相手に漏洩する可能性があります。

- SECURITY-89

ユーザーを削除しても、API トークンが無効化されていませんでした。これにより、ユーザーが許可されていないときに Jenkins にアクセスすることが可能でした。

- SECURITY-80

Jenkins UI は、クリックジャッキング攻撃に対して脆弱でした。

- SECURITY-79

「Jenkins の固有ユーザーデータベース」は、ログイン試行の失敗時にユーザーの presence/absence を公開していました。

- SECURITY-77

Jenkins には、そのクッキーの 1 つにクロスサイトスクリプティングの脆弱性がありました。Jenkins が、攻撃者が被害者のブラウザでの Jenkins クッキーをオーバーライドできる環境で展開されている場合、この脆弱性が悪用される可能性があります。

- SECURITY-75

Jenkins は、セッション固定攻撃に対して脆弱でした。Jenkins が、攻撃者が被害者のブラウザでの Jenkins クッキーをオーバーライドできる環境で展開されている場合、この脆弱性が悪用される可能性があります。

- SECURITY-74

XSS の脆弱性を保存しました。特定の権限のセットを持つ Jenkins の悪意のあるユーザーが、Jenkins に任意の HTML フラグメントを保存させる可能性があります。

- SECURITY-73

システム診断機能の一部は、実際よりも小さい権限をチェックしていました。非常に限られた状況で、これにより、攻撃者がアクセスできないはずの情報を取得する可能性があります。

重要度

- SECURITY-106 および SECURITY-80 は、重要度高としてレーティングされています。この攻撃を仕掛けるために攻撃者に必要なものは、サーバーに対する直接的な HTTP アクセスだけです。

- SECURITY-105、SECURITY-109、SECURITY-108 および SECURITY-74 は、重要度高としてレーティングされています。これらの脆弱性により、有効な Jenkins ユーザーアカウントを持つ攻撃者が、様々な方法で権限を昇格することが可能です。

- SECURITY-76、SECURIT-88 および SECURITY-89 は、重要度中としてレーティングされています。これらの脆弱性では、攻撃者が Jenkins のユーザーである必要があり、また攻撃のモードは限られています。

- SECURITY-93 および SECURITY-79 は、重要度低としてレーティングされています。これらの脆弱性の影響を受けるのは、Jenkins の小さな部分のみで、影響は限られています。

- SECURITY-77、SECURITY-75 および SECURITY-73 は、重要度低としてレーティングされています。これらの脆弱性は、ネットワークの他の悪用と組み合わせない限り、悪用するのは困難です。

リモートホストは、GLSA-201612-35（XStream：任意のコードのリモート実行）に記載されている脆弱性に影響されています。XStreamが、あらゆるタイプのオブジェクトを表す、任意のユーザー指定のXMLコンテンツを逆シリアル化することが判明しました。影響：リモートの攻撃者が特別に細工されたXMLドキュメントをXStreamに渡して、プロセスの権限で任意のコードを実行したり、サービス拒否状態を引き起こしたりする可能性があります。回避策：現時点では、既知の回避策はありません。

自己報告のバージョン番号によると、リモートホストにインストールされているJFrog Artifactoryのバージョンは7.10.1以前です。そのため、以下の複数の脆弱性の影響を受けます。

  - Xstream APIバージョン1.4.6以前およびバージョン1.4.10において、セキュリティフレームワークが初期化されていない場合、リモートの攻撃者が、XMLまたはサポートされている形式（例：JSON）をアンマーシャリングするときに、任意のシェルコマンドを実行できる可能性があります。（CVE-2013-7285）

  -1.4.9より前のXStreamのDom4JDriver、DomDriver、JDomDriver、JDom2Driver、SjsxpDriver、StandardStaxDriver、およびWstxDriverドライバに複数のXML外部エンティティ（XXE）の脆弱性があり、リモートの攻撃者が細工されたXMLドキュメントを介して任意のファイルを読み取ること可能です。（CVE-2016-3674）

  - 1.4.9までのXStreamは、特定のdenyTypesの回避策が使用されない場合、アンマーシャリング中にプリミティブなタイプ「void」のインスタンスを作成しようとする試みを誤って処理し、xstream.fromXML呼び出しで実証されているように、リモートアプリケーションのクラッシュにつながります。（CVE-2017-7957）

  - Apache Commons Compress 1.15から1.18で内部的に使用されるファイル名エンコーディングアルゴリズムは、巧妙に作りこまれた入力があると、無限ループに陥る可能性があります。これにより、攻撃者がCompressによって作成されたアーカイブ内のファイル名を選択できる場合、サービス拒否攻撃につながる可能性があります。（CVE-2019-12402）

  - 3.6.2以前、および3.7.1以前のバージョン3.7.0からのAtlassian CrowdにおけるOpenIDクライアントアプリケーションにより、リモートの攻撃者が、XMLエンティティ拡張の脆弱性を介して、サービス拒否攻撃を実行する可能性があります。（CVE-2019-20104）

  - 1.13.13以前のGoおよび1.14.5以前の1.14.xでは、httputil.ReverseProxyハンドラーで実証されたように、一部のnet/httpサーバーでデータレースが発生します。これは、リクエスト本文を読み取ると同時に応答を書き込むためです。（CVE-2020-15586）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
72685	Jenkins < 1.551/1.532.2 と Jenkins Enterprise 1.509.x/1.532.x < 1.509.5.1/1.532.2.2 複数の脆弱性	Nessus	CGI abuses	2014/2/25	2024/6/5	high
72630	Fedora 20：xstream-1.3.1-9.fc20（2014-2372）	Nessus	Fedora Local Security Checks	2014/2/23	2021/1/11	critical
72629	Fedora 19：xstream-1.3.1-5.1.fc19（2014-2340）	Nessus	Fedora Local Security Checks	2014/2/23	2021/1/11	critical
72966	Artifactory < 3.1.1.1 XStream リモートコードの実行	Nessus	CGI abuses	2014/3/12	2024/6/4	critical
79007	RHEL 6：jasperreports-server-pro（RHSA-2014:0389）	Nessus	Red Hat Local Security Checks	2014/11/8	2021/1/14	critical
72528	FreeBSD：jenkins -- 複数の脆弱性（3e0507c6-9614-11e3-b3a5-00e0814cab4e）	Nessus	FreeBSD Local Security Checks	2014/2/17	2021/1/6	critical
95738	GLSA-201612-35：XStream：任意のコードのリモート実行	Nessus	Gentoo Local Security Checks	2016/12/13	2021/1/11	critical
144307	JFrog < 7.10.1の複数の脆弱性	Nessus	Misc.	2020/12/16	2022/12/5	critical

検出

プラグインの検索

high

critical

critical

critical

critical

critical

critical

critical