Jenkins Patches High-Severity Vulnerabilities in Multiple Plugins
2023/08/18 SecurityWeek — OSS ソフトウェア開発自動化サーバである Jenkins が、今週に発表したのは、複数のプラグインに影響する High/Medium レベルの脆弱性に対するパッチである。今回のパッチが対応するのは、3つのプラグインである Folders/Flaky Test Handler/Shortcut Job に存在する、クロス・サイト・リクエスト・フォージェリ (CSRF) と、クロス・サイト・スクリプティング (XSS) の脆弱性である。
脆弱性 CVE-2023-40336 は、Folders プラグインのバージョン 6.846.v236986f0f6 以前において、HTTP エンド・ポイントに POST リクエストが行われないことに起因し、CSRF の問題を引き起こす。
Jenkins は、「この脆弱性により、攻撃者はアイテムをコピーすることが可能になり、サンドボックス化されていないスクリプトを自動的に承認し、安全ではないスクリプトの実行を許してしまう可能性がある」とアドバイザリで説明している。
深刻度 High に分類された2つ目の脆弱性は CVE-2023-40342 だ。Flaky Test Handler プラグインのバージョン 1.2.2 以下に影響するものであり、JUnit テストの内容が Jenkins の UI に表示される際にエスケープされないため、攻撃者に XSS 攻撃を許すことになる。
3つ目の脆弱性 CVE-2023-40346 は Shortcut Job プラグイン 0.4 以下に存在するもので、ショートカットのリダイレクト URL をエスケープしないため、XSS を引き起こす可能性がある。4つ目は Docker Swarm プラグイン 1.11 以下の脆弱性 CVE-2023-40350 であり、Docker Swarm ダッシュボード・ビューに挿入される前に Docker から返される値がエスケープされず、XSS に繋がる可能性があるという。なお、この脆弱性に対するパッチはリリースされていない。
さらに Jenkins は、Folders/Config File Provider/NodeJS/Blue Ocean/Fortify/Delphix プラグインにおける深刻度 Medium の脆弱性にも対応した。
アドバイザリによると、これらの脆弱性は情報漏えい/クレデンシャル漏えい/CSRF 攻撃/HTML インジェクション/クレデンシャル ID の列挙につながる可能性があるという。
修正されたプラグインは下記の通りだ:
- Blue Ocean 1.27.5.1
- Config File Provider 953.v0432a_802e4d2
- Delphix 3.0.3
- Flaky Test Handler 1.2.3
- Folders 6.848.ve3b_fd7839a_81
- Fortify 22.2.39
- NodeJS 1.6.0.1
- Shortcut Job 0.5
深刻度 Medium の脆弱性のうち、Maven Artifact ChoiceListProvider (Nexus)/Gogs/Favorite View プラグインに存在する、認証情報の漏えい/情報漏えい/CSRF の3つの脆弱性は、パッチがリリースされていない。
深刻度 Low に分類された脆弱性 CVE-2023-40343 は、Tuleap Authentication プラグイン 1.1.20 以下に存在するものであり、悪用に成功した攻撃者は、有効な認証トークンの取得が可能になる。この脆弱性は、バージョン 1.1.21 で修正された。
Jenkins のプラグインで、複数の脆弱性が FIX されたとのことです。さまざまなソフトウェア製品により、また、Chromium のエクステンションにより、さまざまな機能が提供されていますが、それと同時に脆弱性も広まっています。エコシステムの構造上、この種のアドオン・ソフトのセキュリティが甘くなるのは仕方のないことなのでしょう。よろしければ、Jenkins で検索も、ご利用ください。
You must be logged in to post a comment.