jenkins 归档 ftp路径_漏洞通告 | Jenkins多个插件的漏洞通告

漏洞背景

2020年7月4日，山石网科安全技术研究院旗下的安全预警分析团队监测到Jenkins发布安全公告修复多个插件。建议广大用户及时修复补丁。

漏洞描述

CVE-2020-2201 | Sonargraph集成插件中存储的XSS漏洞 

Sonargraph集成插件3.0.0和更早的版本不会转义日志文件字段表单验证的文件路径。这将导致存储的跨站点脚本(XSS)漏洞，具有作业/配置权限的用户可以利用此漏洞。Sonargraph集成插件3.0.1会转义错误消息的受影响部分。

CVE-2020-2202 | 具有Job/Configure访问权限的用户可以在Fortify on Demand插件中枚举凭据ID

Fortify on Demand插件提供了适用凭证ID的列表，以允许配置该插件的用户选择要使用的证书ID。此功能无法正确检查Fortify on Demand插件6.0.0及更早版本中的权限，从而使任何具有“整体/读取”权限的用户都可以获取有效凭证ID的列表。这些可以用作攻击的一部分，以利用另一个漏洞来捕获凭据。现在，Fortify on Demand插件6.0.1中的凭据ID枚举需要适当的权限。

CVE-2020-2203(CSRF)，CVE-2020-2204(缺少权限检查)|Fortify on Demand插件中的CSRF漏洞和缺少权限检查

Fortify on Demand插件5.0.1和更早版本不对实现表单验证的方法执行权限检查。这允许具有对Jenkins的“整体” /“读取”访问权限的用户使用通过另一种方法获得的攻击者指定的凭据ID连接到全局配置的Fortify on Demand端点。此外，此表单验证方法不需要POST请求，从而导致跨站点请求伪造(CSRF)漏洞。此表单验证方法需要Fortify on Demand插件6.0.0中的适当权限。

CVE-2020-2205 | VncRecorder插件中存储型XSS漏洞

VncRecorder插件1.25和更早版本不会在checkVncServ通过作业配置表单访问的表单验证端点中转义工具路径。这导致Jenkins管理员可以利用存储的跨站点脚本(XSS)漏洞。VncRecorder插件1.35会转义工具路径。

CVE-2020-2206 | VncRecorder插件中反射型XSS漏洞 

VncRecorder插件1.25及更早版本不会在checkVncServ表单验证端点输出中转义参数值。这会导致反映出跨站点脚本(XSS)漏洞。VncRecorder插件1.35在输出中转义参数值。

CVE-2020-2207 | VncViewer插件中反射型XSS漏洞 

VncViewer插件1.7和更早版本不会在checkVncServ表单验证端点输出中转义参数值。这会导致反映出跨站点脚本(XSS)漏洞。VncViewer插件1.8在输出中转义参数值。

CVE-2020-2208 | 由Slack Upload Plugin以纯文本形式存储的秘密 

Slack Upload Plugin 1.7和更早版本将未加密的秘密存储在作业config.xml文件中，作为其配置的一部分。具有扩展读取权限或访问主文件系统的用户可以查看此机密。截至本公告发布之时，尚无修复程序。

CVE-2020-2209 | 通过TestComplete支持插件以纯文本格式存储的密码

TestComplete支持插件2.4.1和更早版本将未加密的密码存储在作业config.xml文件中，作为其配置的一部分。具有扩展读取权限或访问主文件系统的用户可以查看此密码。截至本公告发布之时，尚无修复程序。

CVE-2020-2210 | 通过存储分支参数插件以纯文本格式传输的密码

Stash分支参数插件将Stash API密码存储org.jenkinsci.plugins.StashBranchParameter.StashBranchParameterDefinition.xml在Jenkins主服务器上的全局配置文件中，作为其配置的一部分。当密码以加密形式存储在磁盘上时，Stash分支参数插件0.3.0和更早版本以纯文本形式将其作为配置形式的一部分进行传输。这可能导致通过浏览器扩展，跨站点脚本漏洞和类似情况暴露密码。这仅会影响2.236之前的Jenkins(包括2.235.x LTS)，因为Jenkins 2.236引入了安全加固功能，可以透明地加密和解密用于Jenkins密码表单字段的数据。截至本公告发布之时，尚无修复程序。

CVE-2020-2211 | ElasticBox Jenkins Kubernetes CI/CD插件中的RCE漏洞 

ElasticBox Jenkins Kubernetes CI/CD插件1.3及更早版本未配置其YAML解析器以防止实例化任意类型。这导致远程代码执行(RCE)漏洞，可由能够向ElasticBox Jenkins Kubernetes CI/CD插件的构建步骤提供YAML输入文件的用户利用。截至本公告发布之时，尚无修复程序。

CVE-2020-2212 | 密钥由GitHub Coverage Reporter插件以纯文本格式存储 

GitHub Coverage Reporter插件1.8和更早版本将GitHub访问令牌以纯文本格式存储在其全局配置文件中io.jenkins.plugins.gcr.PluginConfiguration.xml。有权访问Jenkins主文件系统的用户可以查看此令牌。截至本公告发布之时，尚无修复程序。

CVE-2020-2213 | 由White Source Plugin以纯文本格式存储的凭据 

White Source Plugin 19.1.1和更早版本的凭证以纯文本格式存储，作为其全局配置文件org.whitesource.jenkins.pipeline.WhiteSourcePipelineStep.xml和Job config.xml文件在Jenkins主服务器上的一部分。具有扩展读取权限的用户(对于作业config.xml文件)或访问主文件系统的用户可以查看这些凭据。截至本公告发布之时，尚无修复程序。

CVE-2020-2214 | 通过ZAP管道插件禁用的用户内容的内容安全策略保护

Jenkins将Content-Security-Policy标头设置为Jenkins 服务的静态文件(特别是DirectoryBrowserSupport)，例如工作空间/userContent，或归档的工件。ZAP Pipeline Plugin 1.9和更早版本会全局禁用Content-Security-PolicyJenkins提供的静态文件的标头。这允许用户进行跨站点脚本(XSS)攻击，并能够控制工作区中的文件，已归档的工件等。配置了资源根URL的 Jenkins实例在很大程度上不受影响。可能的例外是文件参数下载。这些行为取决于Jenkins的特定版本：Jenkins 2.231和更高版本(包括2.235.x LTS)不受影响，因为来自用户内容的所有资源文件通常都可以从其他域安全地提供，而不受Content-Security-Policy标头的限制。介于2.228(含)和2.230(含)之间的Jenkins以及Jenkins 2.222.x LTS的所有发行版和2.204.6 LTS的发行版均受此漏洞的影响，因为文件参数不通过资源根URL提供。詹金斯(Jenkins)2.227和更早版本(2.204.5和更早版本)没有针对文件参数值的XSS保护，请参阅SECURITY-1793。截至本公告发布之时，尚无修复程序。

CVE-2020-2215(CSRF)，CVE-2020-2216(缺少权限检查)| Zephyr for JIRA测试管理插件中的CSRF漏洞和缺少权限检查 

Zephyr for JIRA测试管理插件1.5及更早版本不会在实现表单验证的方法中执行权限检查。这使具有对Jenkins的“整体/读取”访问权限的用户可以使用攻击者指定的用户名和密码连接到攻击者指定的主机。此外，此表单验证方法不需要POST请求，从而导致跨站点请求伪造(CSRF)漏洞。截至本公告发布之时，尚无修复程序。

CVE-2020-2217 | 兼容性操作存储插件中反射型XSS

兼容性操作存储插件1.0和更早版本不会在testConnection表单验证端点中转义来自MongoDB的内容。这使攻击者能够更新MongoDB中配置的文档以注入有效负载。这会导致反映出跨站点脚本(XSS)漏洞。截至本公告发布之时，尚无修复程序。

CVE-2020-2218 | HP ALM Quality Center插件以纯文本格式存储的密码 

HP ALM Quality Center插件1.6和更早版本将密码以纯文本格式存储在其全局配置文件中org.jenkinsci.plugins.qc.QualityCenterIntegrationRecorder.xml。有权访问Jenkins主文件系统的用户可以查看此密码。截至本公告发布之时，尚无修复程序。

CVE-2020-2219 | 链接列插件中存储型XSS漏洞

链接列插件允许具有“查看/配置”权限的用户添加新列以列出包含用户可配置链接的视图。链接列插件1.0和更早版本不过滤这些链接的URL，允许使用该javascript:方案。这导致存储的跨站点脚本(XSS)漏洞可由能够配置列表视图的用户利用。截至本公告发布之时，尚无修复程序。

漏洞危害

CVE-2020-2201(中危)

CVE-2020-2202(中危)

CVE-2020-2205(中危)

CVE-2020-2206(中危)

CVE-2020-2207(中危)

CVE-2020-2208(中危)

CVE-2020-2209(中危)

CVE-2020-2210(低危)

CVE-2020-2211(高危)

CVE-2020-2212(中危)

CVE-2020-2213(中危)

CVE-2020-2214(中危)

CVE-2020-2215(中危)

CVE-2020-2216(中危)

CVE-2020-2217(中危)

CVE-2020-2218(低危)

CVE-2020-2219(中危)

影响版本

• Compatibility Action Storage Plugin <= 1.0

• ElasticBox Jenkins Kubernetes CI/CD Plugin <= 1.3

• Fortify on Demand Plugin <= 6.0.0

• Fortify on Demand Plugin <= 5.0.1

• GitHub Coverage Reporter Plugin <= 1.8

• HP ALM Quality Center Plugin <= 1.6

• Link Column Plugin <= 1.0

• Slack Upload Plugin <= 1.7

• Sonargraph Integration Plugin <= 3.0.0

• Stash Branch Parameter Plugin <= 0.3.0

• TestComplete support Plugin <= 2.4.1

• VncRecorder Plugin <= 1.25

• VncViewer Plugin <= 1.7

• White Source Plugin <= 19.1.1

• ZAP Pipeline Plugin <= 1.9

• Zephyr for JIRA Test Management Plugin <= 1.5

安全建议

• 进入插件中心更新所用插件

• 参考下方官方链接给出的指导

参考信息

https://www.jenkins.io/security/advisory/2020-07-02/

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月，是山石网科的信息安全智库部门，其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室，以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战全球攻防赛事及承办、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作，为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩，网安中国行第一名，连续两届红帽杯冠军、网鼎杯线上第一名，在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩，每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 hslab@hillstonenet.com