关键信息 公告编号: Jenkins Security Advisory 2020-01-29 受影响的Jenkins版本: Jenkins (core), Code Coverage Plugin, Fortify Plugin, WebSphere Deployer Plugin 漏洞描述 1. Inbound TCP Agent Protocol/3 认证绕过 - CVE编号: CVE-2020-2099 - 严重性: 高 - 影响及描述: Jenkins 2.213和更早版本支持已废弃的Inbound TCP Agent Protocol/3,可导致非授权远程攻击者使用连接密钥连接到Jenkins控制器。 2. Jenkins 易受 UDP 放大反射攻击 - CVE编号: CVE-2020-2100 - 严重性: 中 - 影响及描述: Jenkins 2.218和更早版本支持两个网络发现服务(UDP组播/广播和DNS组播),可用于DDoS攻击或导致服务拒绝。 3. 非恒定时间比较的入站TCP代理连接密钥 - CVE编号: CVE-2020-2101 - 严重性: 中 - 影响及描述: Jenkins 2.218和更早版本在启动入站TCP代理连接时,未使用恒定时间比较验证连接密钥。 4. 非恒定时间 HMAC 比较 - CVE编号: CVE-2020-2102 - 严重性: 中 - 影响及描述: Jenkins 2.218和更早版本未使用恒定时间比较检查两个HMAC是否相等。 5. 诊断页面暴露会话Cookie - CVE编号: CVE-2020-2103 - 严重性: 中 - 影响及描述: Jenkins /whoAmI页面的Cookie头部包含HTTP会话ID。 6. 内存使用图表对任何具有 Overall/Read 权限的用户可见 - CVE编号: CVE-2020-2104 - 严重性: 中 - 影响及描述: Jenkins 2.218和更早版本允许非管理员查看内存使用图表。 7. Jenkins REST API 易受点击劫持 - CVE编号: CVE-2020-2105 - 严重性: 低 - 影响及描述: Jenkins 2.218和更早版本未在REST API响应中添加X-Frame-Options: deny头以防止点击劫持攻击。 8. Code Coverage Plugin 存储XSS漏洞 - CVE编号: CVE-2020-2106 - 严重性: 中 - 影响及描述: Code Coverage Plugin 1.1.2及其更早版本未对使用的覆盖报告文件名进行转义。 9. Fortify Plugin 明文存储凭证 - CVE编号: CVE-2020-2107 - 严重性: 中 - 影响及描述: Fortify Plugin 19.1.29及其更早版本明文存储代理服务器密码。 10. WebSphere Deployer Plugin XXE漏洞 - CVE编号: CVE-2020-2108 - 严重性: 高 - 影响及描述: WebSphere Deployer Plugin 1.6.1及其更早版本未配置XML解析器以防止XML外部实体(XXE)攻击。 影响版本 Jenkins weekly: up to and including 2.218 Jenkins LTS: up to and including 2.204.1 Code Coverage Plugin: up to and including 1.1.2 Fortify Plugin: up to and including 19.1.29 WebSphere Deployer Plugin: up to and including 1.6.1 修复建议 Jenkins weekly: upgrade to version 2.219 Jenkins LTS: upgrade to version 2.204.2 Code Coverage Plugin: upgrade to version 1.1.3 Fortify Plugin: upgrade to version 19.2.30 WebSphere Deployer Plugin 尚无修复方案。