groovy script如何调试 jenkins_【安全预警】Jenkins插件远程代码执行漏洞

最新推荐文章于 2024-08-18 11:09:00 发布
最新推荐文章于 2024-08-18 11:09:00 发布
阅读量283 收藏 1
点赞数
文章标签: groovy script如何调试 jenkins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30332165/article/details/113075705
版权
本文介绍了Jenkins中Script Security和Pipeline Plugins存在的高危远程代码执行漏洞,详细解析了CVE-2019-1003000的影响和复现情况。建议用户更新至最新版本,并利用RASP模块的防护功能来加强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

北京时间2019年1月8日,Jenkins发布安全公告,此次的安全公告更新修复了Jenkins的Script Security以及Pipeline Plugins等插件的sandbox bypass远程代码执行漏洞。漏洞编号分别为

CVE-2019-1003000(Script Security)、CVE-2019-1003001 (Pipeline: Groovy)、CVE-2019-1003002 (Pipeline: Declarative)

官方评级均为高危。

以CVE-2019-1003000为例,其成因是jenkins开源项目里的

src/main/java/org/jenkinsci/plugins/scriptsecurityndbox/groovy/GroovySandbox.java

的文件允许“具有Overall/Read 权限”或者“能够控制SCM中的Jenkinsfile,或者sandboxed Pipeline共享库内容权限”的攻击者使用可绕过沙盒保护的脚本在Jenkins的master服务器执行任意代码。该漏洞的危害大、影响严重。漏洞的复现结果如图所示。

871cde25fb77ff59e7ba2e116c7a8f37.png

漏洞名称

Jenkins插件远程代码执行漏洞

漏洞影响版本

Pipeline: Declarative Plugin 1.3.4及之前版本

Pipeline: Groovy Plugin 2.61及之前版本

Script Security Plugin 1.49及之前版本

漏洞补丁更新地址

https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266

受影响的版本是Declarative Plugin 1.3.4及之前版本、Groovy Plugin 2.61及之前版本、Script Security Plugin 1.49及之前版本,推荐用户尽快更新到最新版本。安全狗第一时间关注了事件进展。根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。

处置建议

安全狗的处置建议如下:

1.将Jenkins的plugins升级至其修复版本:

将Declarative Plugin更新至1.3.4.1版

https:// plugins.jenkins.io/pipe line-model-definition

将Groovy Plugin 更新至2.61.1版;

https:// plugins.jenkins.io/work flow-cps

将Security Plugin更新至1.50版。

https:// plugins.jenkins.io/scri pt-security

2.请受漏洞版本影响的Jenkins用户使用安全狗云御产品的RASP模块的“反序列化漏洞防护”与“注入防护”功能进行拦截,如图所示。

020edf8f3f7048ac8f81b1781a026c7c.png

注:RASP, Runtime Application Self-Protection, 实时应用自我保护。RASP产品的原理示意图如图所示。

441777c8707ec64f5061da31f34efe00.png

RASP 运行在应用程序的内部,它的安全保护控制点通常放在应用程序和其他系统的交互连接点上,包括和用户、数据库、网络以及文件系统的连接点,从而,实时监测并拦截漏洞攻击。RASP 的亮点在于“自我保护”,能够在运行时结合上下文采取相应的保护方案。

RASP能够在运行时进行安全过滤,与传统WAF相比,其防御深度更深,可以有效地防御RCE、SQL注入、反序列化等漏洞攻击,有利于迅速发现漏洞,甚至抵御0day攻击。

RASP是我司顺应应用安全领域的关键趋势研发的新功能。它与我司现有防御产品相辅相成,是我司防御产品体系的有力补充。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2019-1003000

https://jenkins.io/security/advisory/2019-01-08/

qbkivlin
关注
Jenkins钉钉消息告警的多种方式+案例模板及演示
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
06-30 1377
Jenkins配置了域名并使用nginx限制了白名单访问,此时IP等于被禁用了,所以在钉钉代码构建通知群内点击Jenkins控制台是无法访问的,需要配置Jenkins URL的地址为域名才可正常访问;PS:Jenkins在创建指向自身的链接时需要知道其自己的URL,对代码构建无影响;任务、状态、持续时间、执行人为默认自带,点击地址可直接跳转到相关链接。构建后,钉钉通知的消息通知格式如何编写,以下会列出案例,以供参考;设置内指定构建者的手机号,在“通知人“填写手机号,多个换行即可。身份构建项目,默认会。
Jenkins文件读取漏洞拾遗(CVE-2024-23897)
离别歌
01-29 1083
Jenkins 未授权文件读取漏洞(CVE-2024-23897)上周闹得沸沸扬扬,我也来简单分析一下这个漏洞,并看看这个文件读取如何利用。首先说的是,由于Jenkins存在版本和插件差异,所以利用时可能也有不一样之处,本文内容不一定适用于所有Jenkins server。我们这里使用Vulhub的环境(2.441)来做分析和演示:https://github.com/vulhub/vulhub/...
groovy script如何调试 jenkins_Jenkins系列教程2-Jenkins的Pipeline
weixin_39986171的博客
01-05 923
上篇讲到了在Windows中如何安装Jenkins。 这章开始讲解最基础的案例。 在开始之前, 先说一下管道(Pipeline)的知识。什么是Jenkins的管道?Jenkins Pipeline(或简称“Pipeline”)是一套基于Jenkins插件,支持在Jenkins中实现和持续集成管道。持续集成将自动的把软件从版本控制直达用户或者客户端。Jenkins Pipeline提供了一个可以扩...
Jenkins pipeline中执行groovy脚本
Tina的博客
04-17 6623
最近又get到一个技能,通过在Jenkins pipeline中使用groovy脚本来完成一些功能。 创建Jenkinsjob: 1. New Item -> 选择 'Pipeline' 填写item name,创建新的Jenkins job; 2. 进入刚才创建好的job,打开Configure,在Pipeline下填写以下内容: Definition:Pipeline scripts from SCM SCM: Git Repositores: git url --> gro.
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 2788
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
groovy script如何调试 jenkins_Jenkins高级用法共享库使用
weixin_39980347的博客
01-15 1685
一、共享库介绍src目录类似于标准Java源目录结构。执行流水线时,此目录将添加到类路径径中。vars目录托管脚本文件,这些脚本文件在“管道”中作为变量公开resources目录允许libraryResource从外部库中是要步骤来加载相关联的非Groovy文件Jenkins官方介绍:扩展共享库目录结构如下图所示:二、共享库实践1、创建共享库最后目录结果如下:](ht创建vars库目录2...
CVE-2019-1003000:[Jenkins]Script Security Plugin沙箱绕过
公众号shadow sock7
05-09 1103
先访问 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile 不带value, 跟进 workflow-cps.jar!\org\jenkinsci\plugins\workflow\cps\CpsFlowDefinition$DescriptorImpl#doCheckScriptCompile(@QueryParameter S
LDRA_Testbed安全漏洞扫描:加强软件安全性
LDRA_Testbed是一款由英国LDRA公司开发的集静态代码分析、动态分析、测试执行、代码覆盖率分析和软件质量度量等于一体的软件测试工具。它广泛应用于嵌入式软件、航空、国防、汽车、医疗等领域,帮助开发者从源头发现...
jenkins教程
最新发布
03-09
好的,用户现在问的是关于Jenkins的教程。我需要先回顾之前的对话历史。之前用户询问了关于CI/CD的理解,我详细解释了持续集成和持续部署的概念、流程、工具以及价值。在那一部分中,我提到了Jenkins作为一个CI工具...
Jenkins管道实现DevOps流水线自动化管理
4. **安全测试**:扫描代码是否存在安全漏洞。 ### 知识点四:部署过程 部署是将软件发布到生产环境的步骤。Jenkins管道可以自动化部署流程: 1. **自动化部署脚本**:编写部署脚本,自动化部署过程,减少人工...
script-security-plugin:允许Jenkins管理员控制用户可以运行哪些进程内脚本
02-26
脚本安全插件 用户手册 (改编自有关信息) 各种Jenkins插件要求用户定义自定义脚本(最常用Groovy语言)以自定义Jenkins的行为。 如果每个编写这些脚本的人都是Jenkins管理员(特别是如果他们具有“脚本脚本”链接所使用的“总体/运行脚本”权限),那么他们就可以编写自己喜欢的任何脚本。 这些脚本可以使用提供给插件的相同API直接引用内部Jenkins对象。 这些用户必须完全受信任,因为他们可以对Jenkins做任何事情(甚至更改其安全设置或在服务器上运行Shell命令)。 但是,如果某些脚本作者是仅具有更有限权限的“常规用户”,例如Job / Configure,则让他们运行任意脚本是不合适的。 为了支持这种角色划分,可以将脚本安全性库插件集成到各种功能插件中。 它支持两个相关的系统:脚本批准和Groovy沙箱。 脚本批准 第一个也是更简单的安全系统是允许运行任何类型的
CVE-2019-1003029:[Jenkins]Script Security Plugin沙箱绕过
公众号shadow sock7
05-26 1713
受影响版本:<= 1.53 修复建议:将Script Security Plugin升级到1.54 官方通告:https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1336 插件官方diff: https://github.com/jenkinsci/script-security-plugin/commit/f2649a7c07...
grails的controller和action那点事 含groovy远程调试 请求contriller中的action让其返回xml 出现404问题两个问题...
chenxiaguang
11-14 278
本文同步在我独立博客 http://www.simonme.org/?p=169 这里会有最新的更新,   grails的controller和action那点事 发表于 2012 年 11 月 14 日 最近由于项目需要,用到了grails,这玩意确实好用,生产率高有类型python的速度与简洁。仅第一印象,用的还不深入,说的不对请轻拍。 遇...
Jenkins Pipeline 报错 org.jenkinsci.plugins.scriptsecurity.scripts.UnapprovedUsageException: script no
是微风,是晚霞,是无可替代
06-21 871
今天使用 Jenkins 的 Pipeline,写了一个脚本结果执行的时候报错了,发现原来是 Jenkins 自身的安全机制,执行新的外部脚本需要审批。选择 In-process Script Approval。选择 Manage Jenkins。审批同意,点击 Approve。
org.jenkinsci.plugins.scriptsecurity.scripts.UnapprovedUsageException: script not yet approved for u
qq_35837864的博客
07-08 5021
jenkins pipeline执行groovry脚本报错 解决方法: 系统管理—>In-process Script Approval ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210708143158833.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM1ODM3ODY0,size_
jenkins 增量发布插件_文末附操作实践 | Jenkins远程代码执行漏洞(CVE-2019-1003000)复现...
weixin_39774219的博客
12-09 250
t-img合天智汇安全预警2019年1月8日,Jenkins官方发布了一则ScriptSecurity and Pipeline插件远程代码执行漏洞的安全公告,漏洞CVE编号为:CVE-2019-1003000,官方定级为高危。2019年2月15日,网上公布了该漏洞的利用方式,该漏洞允许具有“Overall/Read”权限的用户或能够控制SCM中的Jenkinsfile或者sandboxedPip...
安全加固----十、Jenkins服务安全加固
七天
07-07 970
文章目录一、Jenkins简介二、Jenkins访问控制三、Jenkins加固方案1、关注安全漏洞2、启用安全性设置3、配置NLP TCP端口4、启用访问控制5、选择合理的授权方式6、选用与认证和用户管理相关的插件7、启用CSRF保护 一、Jenkins简介 Jenkins早期版本的默认配置下没有安全检查。任何人都可以以匿名用户身份进入Jenkins,执行build操作。然而,对大多数Jenkins应用,尤其是暴露在互联网的应用,安全控制是非常重要的。从Jenkins 2.0开始,其默认配置中启用了许多
jenkins 禁用脚本安全性
shykevin的博客
08-18 578
确保安装了插件Permissive Script Security 修改启动Jenkins启动参数 vi /usr/lib/systemd/system/jenkins.service 将参数:Environment="JAVA_OPTS=-Djava.awt.headless=true" 修改为: Environment="JAVA_OPTS=-Djava.awt.headless=true ...
Jenkins Pipeline报错“org.jenkinsci.plugins.scriptsecurity.scripts.UnapprovedUsageException: script no”
运维@小兵的博客
12-09 2517
Jenkins Pipeline报错“org.jenkinsci.plugins.scriptsecurity.scripts.UnapprovedUsageException: script no”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值