Обновления безопасности
Назад к п.2
2.828 Множественные уязвимости jenkins
| Идентификатор бюллетеня | ROS-20240411-08 |
| Идентификатор CVE | CVE-2024-23899 |
| Идентификатор БДУ ФСТЭК России | BDU:2024-00899 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:C/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(6.8) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.5) |
| Описание уязвимости | Уязвимость библиотеки args4j плагина Jenkins Git server Plugin связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать первые две строки произвольных файлов |
| Идентификатор CVE | CVE-2024-23900 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
| Описание уязвимости | Уязвимость плагина Jenkins Git Matrix Project, связана с отсутствием очистки определяемой пользователем имен осей проектов с несколькими конфигурациями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на целостность и доступность системы |
| Идентификатор CVE | CVE-2024-23901 |
| Идентификатор БДУ ФСТЭК России | BDU:2024-00897 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(6.4) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.5) |
| Описание уязвимости | Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, настраивать и совместно использовать произвольные проекты |
| Идентификатор CVE | CVE-2024-23902 |
| Идентификатор БДУ ФСТЭК России | BDU:2024-00894 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
| Описание уязвимости | Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку |
| Идентификатор CVE | CVE-2024-23903 |
| Идентификатор БДУ ФСТЭК России | BDU:2024-00900 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальной информации |
| Идентификатор CVE | CVE-2024-23904 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:C/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.8) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(7.5) |
| Описание уязвимости | Уязвимость плагина Jenkins Git Log Command связана с работой функции синтаксического анализатора команд, которая заменяет символ «@», за которым следует путь к файлу в аргументе с содержимым файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать содержимое из произвольных файлов |
| Идентификатор CVE | CVE-2024-23905 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:P/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.4) |
| Описание уязвимости | Уязвимость плагина Jenkins Red Hat Dependency Analytics связана с отсутствием защиты Content-Security-Policy для пользовательского контента в рабочих областях, архивных артефактов и т. д., которые Jenkins предлагает для загрузки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять атаки с использованием межсайтовых сценариев (XSS) с возможностью управления файлами в рабочих областях |
| Идентификатор CVE | CVE-2024-23898 |
| Идентификатор БДУ ФСТЭК России | BDU:2024-00751 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(10.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(8.8) |
| Описание уязвимости | Уязвимость встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать CSWSH-атаку |
| Идентификатор CVE | CVE-2024-23897 |
| Идентификатор БДУ ФСТЭК России | BDU:2024-00750 |
| Базовый вектор уязвимости CVSS 2.0 | AV:A/AC:L/Au:N/C:C/I:C/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(8.3) |
| Базовый вектор уязвимости CVSS 3.0 | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(8.8) |
| Описание уязвимости | Уязвимость библиотеки args4j встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный ко |
| Идентификатор CVE | CVE-2023-43498 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(8.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(8.1) |
| Описание уязвимости | Уязвимость сервера автоматизации Jenkins связана с созданием временных файлов с небезопасными разрешениями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление файлов |
| Идентификатор CVE | CVE-2023-43497 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(8.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(8.1) |
| Описание уязвимости | Уязвимость сервера автоматизации Jenkins связана с загрузкой файлов с помощью веб-платформы Stapler, создающей временные файлы во временном каталоге системы с разрешениями по умолчанию для вновь создаваемых файлов. Эксплуатация уязвимости может позволить нарушителю получить, действующему удаленно, доступ на чтение, изменение или удаление файлов |
| Идентификатор CVE | CVE-2023-43496 |
| Идентификатор БДУ ФСТЭК России | BDU:2023-06018 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:H/Au:S/C:C/I:C/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(6.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | |
| Описание уязвимости | Уязвимость сервера автоматизации Jenkins связана с недостатками разграничения доступа при установке плагинов. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение, изменение или удаление файлов и выполнить произвольный код |
| Идентификатор CVE | CVE-2023-43495 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:P/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.4) |
| Описание уязвимости | Уязвимость сервера автоматизации Jenkins связана с отсутствием экранизации значения параметра конструктора «caption» ExpandableDetailsNote. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, осуществлять атаки с использованием межсайтовых сценариев (XSS) с возможностью управления файлами в рабочих областях |
| Наименование уязвимого пакета: | jenkins |
| Версия уязвимого пакета младше: | 2.426.3-1 |
| Пакет обновления: | jenkins-0:2.426.3-1.el7.noarch |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 11.04.2024 |
Дата последнего изменения: 16.10.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.