登錄 注冊
開源資訊 /
正文

Jenkins 使用不安全權限創建臨時插件

來源: 投稿
作者: OSCS開源供應鏈安全
2023-09-22 10:05:00
0
從數據到大模型應用,11 月 25 日,杭州源創會,共享開發小技巧

漏洞描述

Jenkins 是一個用于自動化構建、測試和部署軟件項目的開源工具。

受影響版本中,當直接從 URL 部署插件時 Jenkins 會在系統共享臨時目錄中創建此臨時文件,并且該文件具有創建者所有權限。當從管理員計算機上傳此插件時,如果文件權限過于寬松,有權訪問 Jenkins 系統共享臨時目錄的攻擊者可在臨時文件安裝到 Jenkins 之前將其替換為帶有 payload 的惡意文件,導致Jenkins安裝此插件時遠程執行惡意代碼。

漏洞名稱 Jenkins 使用不安全權限創建臨時插件
漏洞類型 創建擁有不安全權限的臨時文件
發現時間 2023-09-21
漏洞影響廣度
MPS編號 MPS-n8lm-der1
CVE編號 CVE-2023-43496
CNVD編號 -

影響范圍

org.jenkins-ci.main:jenkins-core@(-∞, 2.424)

jenkins@(-∞, 2.424)

jenkins lts@(-∞, 2.414.2)

jenkins@影響所有版本

修復方案

升級jenkins LTS到 2.414.2 或更高版本

升級org.jenkins-ci.main:jenkins-core到 2.424 或更高版本

配置 Java 系統屬性 java.io.tmpdir 更改默認臨時文件目錄為具有嚴格權限限制的文件目錄。

官方已發布補?。?a href="http://www.doharose.com/action/GoToLink?url=https%3A%2F%2Fgithub.com%2Fjenkinsci%2Fjenkins%2Fcommit%2Ff06bb8820115996397a2e0010b003ecbf0570865" target="_blank">https://github.com/jenkinsci/jenkins/commit/f06bb8820115996397a2e0010b003ecbf0570865

升級jenkins到 2.424 或更高版本

參考鏈接

https://www.oscs1024.com/hd/MPS-n8lm-der1

https://nvd.nist.gov/vuln/detail/CVE-2023-43496

https://www.jenkins.io/security/advisory/2023-09-20/#SECURITY-3072

https://github.com/jenkinsci/jenkins/commit/df7c4ccda8976c06bf31b8fb9938f26fc38501ca

https://github.com/jenkinsci/jenkins/commit/f06bb8820115996397a2e0010b003ecbf0570865

????

免費情報訂閱&代碼安全檢測

OSCS是國內首個開源軟件供應鏈安全社區,社區聯合開發者幫助全球頂級開源項目解決安全問題,并提供實時的安全漏洞情報,同時提供專業的代碼安全檢測工具為開發者免費使用。社區開發者可以通過配置飛書、釘釘、企業微信機器人獲取一手的情報。

免費代碼安全檢測工具: https://www.murphysec.com/?src=osc

免費情報訂閱: https://www.oscs1024.com/cm/?src=osc

具體訂閱方式詳見: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展開閱讀全文

本站新聞禁止未經授權轉載,違者依法追究相關法律責任。授權請聯系:oscbianji#oschina.cn

本文標題:Jenkins 使用不安全權限創建臨時插件

本文地址:http://www.doharose.com/news/259045

資訊來源:https://www.oscs1024.com/hd/MPS-n8lm-der1?src=osc

點擊引領話題?? 發布并加入討論??

熱門評論

漫步海邊小路
漫步海邊小路 2023-11-16 13:22
IT管理松散(領導層鍋),阿里系接連出現重大事故(阿里高層鍋)
h4cd
h4cd 2023-11-07 16:08
問題問得真真實。
kakai
kakai 2023-11-20 09:42
手機鴻蒙就是鴻蒙,法國手機品牌WIKO已經接入鴻蒙了,實干者才能尋得真諦!
鈦元素
鈦元素 2023-11-15 12:44
那就太可怕了,我用百度AI生成的代碼,80%無法運行
紅薯頭子
紅薯頭子 2023-11-20 11:03
大小寫也能吵起來,醉了??
A
AaronJiang 2023-11-13 16:32
這都能觸發關鍵詞……
foobra
foobra 2023-11-08 11:58
不錯,重新定義了《可能》《實際體驗》
T
TPM-osc_73581235 2023-11-06 17:38
哪里有銀行公告說我們升級替換數據庫的,公告不都是業務系統升級嗎?這年頭開源技術論壇也來造謠一張嘴辟謠跑斷腿啊
最初的-夢想
最初的-夢想 2023-11-20 09:38
我提一個:疼訊視頻
屮殖
屮殖 2023-11-20 11:06
牛逼!谷歌都沒你這么牛逼,20個人?“我的產品就查一個程序?”?
osc_04614705
osc_04614705 2023-11-07 15:18
貴陽本地IT圈的,剛聽到這個項目消息的時候確實比較驚訝,還特地去看了貴陽銀行的公告,4.27億不只是數據庫的,還有核心應用和其他應用、服務器、操作系統等等,這種扭曲事實、掐頭去尾的報到,想必是別有用心的人所為。還有就是這張“預祝海報”,自始至終人銀行官方都沒有發過,居然冒用銀行的logo和署名發布虛假海報,并且高調宣傳國外數據庫產品,我看“刑”。坐等官方消息吧,不信謠不傳謠!由此可見國產化道路充滿荊棘,衷心的祝愿國產技術越來越好!??
開源中國首席路人王
開源中國首席路人王 2023-11-20 11:28
舊項目遷移麻煩嗎?
-SORA-
-SORA- 2023-11-20 11:43
越是嘴上愛說這種漂亮話的人,越是在掩飾自己反面的內在。 還嘴上各種中山,各種三民,真考你說三民是啥,你還得百度呢。 自己都學不明白,只會說些漂亮話,還好意思說別人。
依然藏鋒
依然藏鋒 2023-11-12 19:56
阿里云,哈哈,最坑的就是阿里云,又貴又坑,騰訊云都比它強!
閑大賦
閑大賦 2023-11-20 10:20
哈哈,我也是在想要是有周邊支持就好了,不過太難了,beetlsql今天剛好抽空發了個版本
黃者
黃者 2023-11-20 10:32
“一個人可以走得更遠,一群人卻可以走得更遠”,應該是“一個人可以走的更快”吧?
小xu中年
小xu中年 2023-11-20 09:50
優秀
小xu中年
小xu中年 2023-11-20 09:46
好多mybatis周邊支持,真羨慕。啥時beetlsql等國產orm也有這些周邊支持就好了
o
osc_91229770 2023-11-20 10:14
喬布斯2.0版嗎
Credo-Zhao
Credo-Zhao 2023-11-12 20:19
接到電話,多個項目出問題,就順手就查是不是阿里云出問題了....果然...然后就是大群通知所有項目組排查,熱線/實施組跟進.網絡硬件組已經在考慮如何賠付的事兒了...??
高排量低炭燒
高排量低炭燒 2023-11-12 18:49
幾年后鴻蒙搞不好就沒了
s
solshine_q 2023-11-20 09:38
什么年代了,這個圈子戾氣還那么重,蘿卜青菜各有所愛,想吃啥就吃啥,非得爭個死去活來……
J
Jason909 2023-11-20 09:33
當你.net和java都會,就知道有些方面確實.net更好。
noyugo
noyugo 2023-11-15 12:21
各位天天呼牛皮的,java 1.5w起, .net 6千,這個國內怎么破!別來談個例,絕大多數就是這樣
屮殖
屮殖 2023-11-20 11:04
從科研經費算就可以,沒啥高估預估的。
是不是玩不起啊
是不是玩不起啊 2023-11-15 08:57
最完美的全棧語言,比C++簡單,比Java底層,比Python寫更快!
sprouting
sprouting 2023-11-20 11:12
何止,天天整審核,整的問答區已經全軍覆沒,要有好一點的平臺,打算遷移了
Elric黃
Elric黃 2023-11-20 11:28
支持!挺喜歡pear admin的,打算用在新項目上
abeet
abeet 2023-11-20 10:14
中國大陸地區開發者榜上無名? 唉, 中國大陸地區絕大多數時候無法訪問github, 遙遙領先于世界
局
2023-11-20 10:58
周六解雇,周日和解,周一上班。
crazymus
crazymus 2023-11-20 10:56
產品看起來很強大,但是部署在云端的數據庫管理工具,大家會敢用嗎?
大后鋒
大后鋒 2023-11-13 09:52
一樣,之前有家公司經歷過華為云接近8個小時宕機
屮殖
屮殖 2023-11-07 15:40
防御性注冊而已。一幫不搞技術只能搞點web搞點應用搞點服務的所謂碼農,連真正的搞核心技術的軟件工程師都算不上的,不知道在高潮啥?劣幣驅逐良幣的地方,評論區沒有干貨,只有噴子。
OSC反詐中心
OSC反詐中心 2023-11-20 10:52
為什么文章下面的 “熱門評論” 是全站的熱門,這是什么糟糕設計,驢頭不對馬嘴。
swingcoder
swingcoder 2023-11-14 11:43
現在大部分APP在后臺活躍狀態恢復時都會再彈一個廣告,這種行為也非常的惡心
fx443
fx443 2023-11-16 12:22
讀取異常(不可避免的), 錯誤未正確處理(測試鍋), 結果無校驗(產品設計鍋), 恢復不及時(運維鍋).
p
phper08 2023-11-20 11:13
首當其沖這個成語用錯了
f
fzn0268 2023-11-20 09:48
8點檔么?netflix進駐了么?
屮殖
屮殖 2023-11-20 11:00
開源中國又做了件利國利民的好事!
哈哈愛兮愛兮乎乎 2023-11-20 10:05
搞不懂開源中國的評論系統,不相干的新聞評論為啥都跟在下面,為了湊頁面嗎?
有害健康
有害健康 2023-11-17 15:56
我作為一個Java系開發,對此表示祝賀。不知道你們爭論個什么,java和.NET又不是你們做出來的,它們牛逼你們自豪個啥?熟悉哪個就用哪個,公司要求哪個就用哪個,項目要求用哪個就用哪個?;ハ噢D一下很難嗎?FaLv禁止Javaer轉.NET了嗎?禁止.NET轉Java了嗎?大把雙修的人。
galaxist1314
galaxist1314 2023-11-20 11:20
那么大個分割線啊
sunday12345
sunday12345 2023-11-09 15:55
所以國內廠家,還是得學學人家~看看華為一個閃存門事件被干成什么樣了,看看人家,把消費者馴化得~
無盡的拉格朗日
無盡的拉格朗日 2023-11-15 12:25
直接rust走起,一步到位,性能杠杠的。 操作系統也能干,上層也能干,前端也能干。
小xu中年
小xu中年 2023-11-20 09:49
jpa真心高深莫測
fasiondog
fasiondog 2023-11-16 15:00
缺乏回溯,缺陷何時被引入,單元測試是否可發現,靜態檢測是否可發現,代碼review是否可發現,測試是否可發現
A
AsukaQua 2023-11-13 08:42
華為云:全靠友商襯托
簡單代碼
簡單代碼 2023-11-16 12:25
能增加不少研發崗位,建議大家都去買華為,這華為可以快速提升鴻蒙系統,小米vela就有更高的對標目標,就能擴大就業需求。
雙重否定表肯定
雙重否定表肯定 2023-11-14 11:33
發明這個功能的天才,是芒果TV的平臺運營中心副總經理陳超,曾榮獲金芒年度員工一等獎。他的兩項主要功績,第一是帶領團隊推出“互動廣告”系統,當時政策對開屏廣告點擊區域,做了嚴格限制,點擊率和填充率迅速下降。陳超帶領團隊通過產品“創新”,推出“搖一搖”“滑動”等交互方式,不僅維持住了原先的點擊率,更是開行業先河,引得互聯網平臺紛紛效仿。第二大成就是開發出“超級暫?!惫δ堋谝曨l播放的任意位置點擊暫停,視頻會快速縮小,大幅廣告頁面會占據整個畫面。該功能在2018年申請了專利,并得到了客戶的充分認可,競品平臺爭相模仿。
t
troika 2023-11-12 18:09
我早就預言以后肯定國產app商店將會全面過渡到鴻蒙,安卓將會慢慢禁止使用,只要慢慢要求國行手機如果要賣,必須發布功能版本手機,然后幾年后各種軟件不再發布安卓版本只發布鴻蒙版本,連走私的水貨安卓手機也沒用了。
amita
amita 2023-11-20 10:32
我認為這屬于設定與溝通問題。如果設定主要是自娛自樂,那別人說什么都不用理會;如果設定是開放,就要準備好一些溝通交流,比如定期在readme里更新一下狀態和計劃,可以減少很多誤解。暫停項目就說想休息一段時間
talent-tan
talent-tan 2023-11-09 14:31
牛逼的產品都是用訂單展示實力,我在遙遠的江蘇都能聽到陳總企業微信收款的聲音。實力不允許你低調了,韜光養晦已經韜不住了??
西迷島主
西迷島主 2023-11-14 09:12
好煩這個評論功能,動不動就敏感詞,直接倒閉好了
小石頭2016
小石頭2016 2023-11-14 08:52
規則很重要!不然什么都可以無下限!
屮殖
屮殖 2023-11-20 11:01
有個配圖就好了。。。
Yokesily
Yokesily 2023-11-14 13:52
而且降低編程語言可讀成本才是正確道路,而不是代碼花里胡哨,各種亂七八糟的語法糖,你看不懂我看不懂,如果更多人和實際使用者一看就懂,就很容易發現問題,當場就能“你這個不對,不是我想要的結果”
平波
平波 2023-11-20 11:27
嵌入式系統,工作量不是太大的哈;
依然藏鋒
依然藏鋒 2023-11-13 12:59
這就是996福報,帶頭優化35+ 以后的老技術員工的企業--阿里,35+的技術員工正是經驗豐富的時候,卻因為有了家庭,不能經常加班,不能卷,不能996,就"優化"掉,搞一群畢業才3-5年的,能加班的小年輕去搞,美其名曰"降本增效",你看這下好了,"香港區事故"還沒多久,這又來了個大面積P0事故,這就是國內這些大互聯網公司帶壞的風氣。這下好了,反噬到自己了。
鈦元素
鈦元素 2023-11-20 09:39
以前某個版本,不知道為什么,點了啥,然后把整個硬盤里面的所有pdf都改名了,要吐血
漫步海邊小路
漫步海邊小路 2023-11-06 16:56
桌面處理器很難搞,絕大多數中國用戶只會用windows,而龍芯注定只能用linux等系統。中國的linux軟件生態極其差,大廠沒幾個真正可用的項目,qq for linux 除外,qq音樂和百度云網盤也還行。網易云音樂的linux也沒了,之前還有幾個出過linux版軟件的也沒后續了,而微信堅決不重視linux,只出了個uos能用的極其簡易的版本

熱門資訊

1
俄羅斯操作系統 Aurora OS 5.0 全新 UI 亮相
2
微軟推出全新“Windows App”
3
.NET 8 正式 GA,最新 LTS 版本
4
小米官宣 Xiaomi Vela 全面開源,底層內核為 NuttX
5
阿里云 11.12 故障原因曝光:訪問密鑰服務 (Access Key) 異常
6
GitHub 報告:TypeScript 取代 Java 成為第三受歡迎語言
7
2023 年收入最高的 10 種編程語言
8
指針“爆雷”導致公司損失上億資金
9
TIOBE 11 月榜單:PHP 升至第 7,Kotlin 能否躋身四大?
10
Vite 5 正式發布

精彩專欄

高手問答
往期

從 kkFileView 項目出發,聊聊怎么做開源項目

程序員如何入門大數據?

大數據時代下機器學習的新范式

每日一博
更多

視覺BEV基本原理和方案解析

彩虹橋架構演進之路-性能篇

百度搜索智能化算力調控分配方法

源創計劃
立即入駐

自媒體入駐開源社區,

獲百萬流量,打造個人技術品牌

新聞投遞
立即投遞

歡迎投遞軟件、IT 行業

相關新聞。

推薦關注

換一批
CDF中文本地化SIG
CDF中文本地化SIG
文章 483
訪問 21.6W
hi懶喵
hi懶喵
文章 49
訪問 38.9W
京多寶搜券
京多寶搜券
文章 15
訪問 4.3W
Huoyoooooo
Huoyoooooo
開源軟件作者
jonny_xu
jonny_xu
開源軟件作者

熱門軟件

Apache DolphinScheduler - 分布式工作流任務調度系統
ImageBind - 多模態 AI 模型
codeium.vim - Vim 的 AI 編程助手
Kornia - 可微分計算機視覺庫
Fanx - 基于 Fantom 的編程語言
Salvo - Rust 編寫的 Web 后端框架
Tracker Radar - 自定義在線跟蹤解決方案
SOFAJRaft - 基于?RAFT?一致性算法的 Java 實現
RustDesk - 開源遠程桌面軟件
FlashDB IoT - 超輕量級嵌入式數據庫
KEDA - Kubernetes 事件驅動自動伸縮
Sistine - 將你的 Mac 筆記本屏幕變成觸摸屏
RDebug - 基于真實流量的研發調試利器
chineseocr - 中文自然場景 OCR 工具
DeepCreamPy - 使用深度神經網絡去除馬賽克
Projector - 遠程訪問 IDE
SnowFS - 二進制文件版本控制
Apache InLong - 分布式消息中間件系統
Element Plus - 基于 Vue 3.0 的桌面端組件庫
ClayGL - 構建 Web3D 應用的 WebGL 圖形庫
0 評論
0 收藏
分享
返回頂部
頂部
一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间