Những Lỗ Hổng Bảo Mật Trong Jenkins Core và Plugin: Chi Tiết và Giải Pháp

03/04/2025
2 mins read
Nội dung
Các lỗ hổng trong Jenkins Core
Các lỗ hổng Cụ Thể của Plugin
Khuyến nghị
Bối cảnh bổ sung

Các lỗ hổng trong Jenkins Core

  1. Thiếu Kiểm Tra Quyền (CVE-2025-31720)
    • Tác động: Cho phép truy cập không được phép vào cấu hình agent.
    • Phiên bản bị ảnh hưởng: Jenkins phiên bản 2.503 trở xuống, LTS 2.492.2 trở xuống.
    • Giải pháp: Jenkins 2.504 và LTS 2.492.3 yêu cầu quyền Computer/Extended Read cho việc sao chép agent.
  2. Thiếu Kiểm Tra Quyền (CVE-2025-31721)
    • Tác động: Cho phép truy cập không được phép vào các bí mật mã hóa trong cấu hình agent.
    • Phiên bản bị ảnh hưởng: Jenkins phiên bản 2.503 trở xuống, LTS 2.492.2 trở xuống.
    • Giải pháp: Jenkins 2.504 và LTS 2.492.3 yêu cầu quyền Computer/Configure để sao chép agent chứa bí mật.

Các lỗ hổng Cụ Thể của Plugin

  1. Plugin Templating Engine (CVE-2025-31722)
    • Tác động: Cho phép thực thi mã tùy ý trong ngữ cảnh của JVM controller Jenkins.
    • Phiên bản bị ảnh hưởng: Plugin Templating Engine phiên bản 2.5.3 trở xuống.
    • Giải pháp: Plugin Templating Engine phiên bản 2.5.4 áp dụng bảo vệ sandbox cho các thư viện theo phạm vi thư mục.
  2. Plugin Simple Queue (CVE-2025-31723)
    • Tác động: Các lỗ hổng CSRF cho phép thay đổi và thiết lập lại thứ tự hàng đợi xây dựng.
    • Phiên bản bị ảnh hưởng: Plugin Simple Queue phiên bản 1.4.6 trở xuống.
    • Giải pháp: Plugin Simple Queue phiên bản 1.4.7 yêu cầu các yêu cầu POST cho các điểm cuối HTTP bị ảnh hưởng.
  3. Plugin Cadence vManager (CVE-2025-31724)
    • Tác động: Lưu trữ không mã hóa các khóa VAPI của Verisium Manager trong các tệp job config.xml.
    • Phiên bản bị ảnh hưởng: Plugin Cadence vManager phiên bản 4.0.0-282.v5096a_c2db_275 trở xuống.
    • Giải pháp: Plugin Cadence vManager phiên bản 4.0.1-286.v9e25a_740b_a_48 mã hóa các khóa VAPI của Verisium Manager.
  4. Plugin monitor-remote-job (CVE-2025-31725)
    • Tác động: Lưu trữ không mã hóa các mật khẩu trong các tệp job config.xml.
    • Phiên bản bị ảnh hưởng: Plugin monitor-remote-job phiên bản 1.0.
    • Không có giải pháp khả dụng: Đến thời điểm phát hành bản thông báo, không có giải pháp khả dụng cho plugin này.
  5. Plugin Stack Hammer (CVE-2025-31726)
    • Tác động: Lưu trữ không mã hóa các khóa API Stack Hammer trong các tệp job config.xml.
    • Phiên bản bị ảnh hưởng: Plugin Stack Hammer phiên bản 1.0.6 trở xuống.
    • Không có giải pháp khả dụng: Đến thời điểm phát hành bản thông báo, không có giải pháp khả dụng cho plugin này.
  6. Plugin Asakusa Satellite (CVE-2025-31727, CVE-2025-31728)
    • Tác động: Lưu trữ không mã hóa các khóa API AsakusaSatellite trong các tệp job config.xml, và thiếu việc ẩn các khóa này trong biểu mẫu cấu hình job.
    • Phiên bản bị ảnh hưởng: Plugin AsakusaSatellite phiên bản 0.1.1 trở xuống.
    • Không có giải pháp khả dụng: Đến thời điểm phát hành bản thông báo, không có giải pháp khả dụng cho plugin này.

Khuyến nghị

  • Hành động ngay lập tức: Các quản trị viên Jenkins nên xem xét kỹ lưỡng bản thông báo, xác định các thành phần bị ảnh hưởng, và áp dụng các bản cập nhật được khuyến nghị ngay lập tức.
  • Giảm thiểu: Đối với các plugin không có giải pháp, các quản trị viên nên xem xét việc thực hiện các biện pháp kiểm soát giảm thiểu hoặc giải pháp thay thế để giảm thiểu rủi ro tiềm ẩn.

Bối cảnh bổ sung

Nhóm phát triển Jenkins đã phát hành một thông cáo bảo mật toàn diện chi tiết về các lỗ hổng này và cung cấp hướng dẫn để giảm thiểu và khắc phục.

Thông cáo cũng ghi nhận những người đã phát hiện và báo cáo các lỗ hổng này, nhấn mạnh tầm quan trọng của nỗ lực bảo mật từ cộng đồng.