关于Jenkins插件多个安全漏洞预警

一、概要

近日，华为云关注到Jenkins官方发布安全公告修复5个插件中的9个漏洞。攻击者利用漏洞可实现远程代码执行，跨站请求伪造，凭证泄漏。

SCM Filter Jervis插件远程代码执行漏洞（CVE-2020-2189）：由于SCM Filter Jervis插件默认不配置YAML解析器，导致用户可以使用过滤器配置项目，也可以操作SCM已存储配置过的项目内容，安全风险较高。

Credentials Binding 插件凭据泄露漏洞（CVE-2020-2181、CVE-2020-2182）；

Copy Artifact 插件权限校验不当漏洞（CVE-2020-2183）；

CVS 插件跨站请求伪造漏洞（CVE-2020-2184）；

Amazon EC2插件漏洞（CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2185）。

华为云提醒使用Jenkins的用户及时安排自检并做好安全加固。

参考链接：

https://www.jenkins.io/security/advisory/2020-05-06/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

SCM Filter Jervis Plugin <= 0.2.1

Credentials Binding Plugin <= 1.22

Copy Artifact Plugin <= 1.43.1

CVS Plugin <= 2.15

Amazon EC2 Plugin <= 1.50.1

安全版本：

SCM Filter Jervis Plugin = 0.3

Credentials Binding Plugin = 1.23

Copy Artifact Plugin = 1.44

CVS Plugin = 2.16

Amazon EC2 Plugin = 1.50.2

四、漏洞处置

目前官方已发布新的插件版本修复了该批漏洞，请受影响的用户升级至安全版本，升级操作参考如下：

a、点击“系统管理”进入管理模块，选择“插件管理”管理插件，进入插件管理界面；

b、选择需要升级的插件，点击“下载待重启后安装”进行更新操作。

注：修复漏洞前请将资料备份，并进行充分测试。