Jenkins 多個漏洞
發佈日期:
2024年01月30日
1649
觀看次數
風險: 極高度風險
類型: 操作系統 - 流動裝置及操作系統
於 Jenkins 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、跨網站指令碼及繞過保安限制。
注意:
對於 CVE-2024-23897,透過 CLI 的任意檔案讀取漏洞可能會導致遠端執行任意程式碼。CVE-2024-23897 漏洞已被廣泛利用。
CVE-2024-23897 影響 Jenkins weekly 2.441 及以前的版本、Jenkins LTS 2.426.2 及以前的版本。
影響
- 遠端執行程式碼
- 資料洩露
- 繞過保安限制
- 跨網站指令碼
受影響之系統或技術
- Jenkins weekly 2.441 及以前的版本
- Jenkins LTS 2.426.2 及以前的版本
- Git server Plugin 99.va_0826a_b_cdfa_d 及以前的版本
- GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3 及以前的版本
- Log Command Plugin 1.0.2 及以前的版本
- Matrix Project Plugin 822.v01b_8c85d16d2 及以前的版本
- Qualys Policy Compliance Scanning Connector Plugin 1.0.5 及以前的版本
- Red Hat Dependency Analytics Plugin 0.7.1 及以前的版本
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
- Jenkins weekly 應更新至版本 2.442
- Jenkins LTS 應更新至版本 2.426.3
- Git server Plugin 應更新至版本 99.101.v720e86326c09
- GitLab Branch Source Plugin 應更新至版本 688.v5fa_356ee8520
- Matrix Project Plugin 應更新至版本 822.824.v14451b_c0fd42
- Qualys Policy Compliance Scanning Connector Plugin 應更新至版本 1.0.6
- Red Hat Dependency Analytics Plugin 應更新至版本 0.9.0
漏洞識別碼
- CVE-2023-6147
- CVE-2023-6148
- CVE-2024-23897
- CVE-2024-23898
- CVE-2024-23899
- CVE-2024-23900
- CVE-2024-23901
- CVE-2024-23902
- CVE-2024-23903
- CVE-2024-23904
- CVE-2024-23905
資料來源
相關連結
分享至