一、概要

近日，華為云關(guān)注到Jenkins官方發(fā)布安全公告修復(fù)5個(gè)插件中的9個(gè)漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，跨站請(qǐng)求偽造，憑證泄漏。

SCM Filter Jervis插件遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-2189）：由于SCM Filter Jervis插件默認(rèn)不配置YAML解析器，導(dǎo)致用戶可以使用過(guò)濾器配置項(xiàng)目，也可以操作SCM已存儲(chǔ)配置過(guò)的項(xiàng)目?jī)?nèi)容，安全風(fēng)險(xiǎn)較高。

Credentials Binding 插件憑據(jù)泄露漏洞（CVE-2020-2181、CVE-2020-2182）；

Copy Artifact 插件權(quán)限校驗(yàn)不當(dāng)漏洞（CVE-2020-2183）；

CVS 插件跨站請(qǐng)求偽造漏洞（CVE-2020-2184）；

Amazon EC2插件漏洞（CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188）。

華為云提醒使用Jenkins的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.jenkins.io/security/advisory/2020-05-06/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

SCM Filter Jervis Plugin <= 0.2.1

Credentials Binding Plugin <= 1.22

Copy Artifact Plugin <= 1.43.1

CVS Plugin <= 2.15

Amazon EC2 Plugin <= 1.50.1

安全版本：

SCM Filter Jervis Plugin = 0.3

Credentials Binding Plugin = 1.23

Copy Artifact Plugin = 1.44

CVS Plugin = 2.16

Amazon EC2 Plugin = 1.50.2

四、漏洞處置

目前官方已發(fā)布新的插件版本修復(fù)了該批漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本，升級(jí)操作參考如下：

a、點(diǎn)擊“系統(tǒng)管理”進(jìn)入管理模塊，選擇“插件管理”管理插件，進(jìn)入插件管理界面；

b、選擇需要升級(jí)的插件，點(diǎn)擊“下載待重啟后安裝”進(jìn)行更新操作。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。