CloudBees Jenkins Job DSL Plugin安全特征问题漏洞的补丁

浏览点击数: 5241

创建日期： 2019-05-22 17:52:05

补丁编号： CNPD-2019-161965

补丁描述

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Job DSL Plugin是使用在其中的一个支持DSL以编程方式创建项目的插件。 CloudBees Jenkins Job DSL Plugin 1.71及之前版本中的多个文件存在安全特征问题漏洞。攻击者可利用该漏洞绕过沙盒保护，在Jenkins master上执行任意代码。(多个文件包括：job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy、job-dsl-plugin/build.gradle、job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy和job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy) 目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

供应商发布了安全公告及相关补丁信息，修复了此漏洞，建议用户下载使用。避免攻击者可利用该漏洞绕过沙盒保护，在Jenkins master上执行任意代码。

补丁链接

https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1342

在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

最受关注的补丁

1. Mercedes-Benz HERMES认证绕过漏洞（CNVD-2021-17723）的补丁2. Mercedes-Benz HERMES认证绕过漏洞的补丁3. Mercedes-Benz HERMES配置错误漏洞（CNVD-2021-17724）的补丁4. Mercedes-Benz HERMES配置错误漏洞的补丁5. 微车APP存在信息泄露漏洞的补丁6. TeslaMate权限提升漏洞的补丁7. Mercedes-Benz HERMES认证绕过漏洞（CNVD-2021-17722）的补丁8. Mercedes-Benz HERMES配置错误漏洞（CNVD-2021-17721）的补丁9. CloudBees Jenkins Job DSL Plugin安全特征问题漏洞的补丁10. exlive2.0管理平台存在SQL注入漏洞