5月6日,Jenkins正式发布了一个安全公告,修复了9个插件漏洞,其中5个插件受到了影响。 其中,SCM Filter Jervis插件具有一个远程执行代码漏洞(CVE-2020-2189),被官方评为高风险。 由于SCM筛选器Jervis插件默认情况下不配置YAML解析器,因此用户可以使用筛选器配置项目,还可以操作SCM存储已配置的项目内容。 凭据绑定插件具有两个凭据泄露漏洞(CVE-2020-2181,CVE-2020-2182)。 Copy Artifact插件具有不正确的权限验证漏洞(CVE-2020-2183)。 CVS插件存在跨站点请求伪造漏洞(CVE -2020-2184)和Amazon EC2插件中的4个漏洞(CVE-2020-2185,CVE-2020-2186,CVE-2020-2187,CVE-2020-2188) )。
Amazon EC2插件(含1.50.1及以下)
复制Artifact插件,最高至1.43.1(含)
凭证绑定插件,最高1.22(含)
包含2.15或更高版本的CVS插件
SCM筛选器Jervis插件,最高0.2.1(含)
Amazon EC2 Plugin (含1.50.1及以下)
Copy Artifact Plugin (含1.43.1及以下)
Credentials Binding Plugin (含1.22及以下)
CVS Plugin (含2.15及以下)
SCM Filter Jervis Plugin (含0.2.1及以下)
不受影响的版本Amazon EC2 Plugin 1.50.2
Copy Artifact Plugin 1.44
Credentials Binding Plugin 1.23
CVS Plugin 2.16
SCM Filter Jervis Plugin 0.3
为了确保Jenkins服务器的安全性,建议相关用户将受影响的Jenkins插件升级到不受影响的版本。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx