Vulnérabilités dans Jenkins pour Red Hat

Date de publication :

Plusieurs vulnérabilités ont été corrigées dans les paquets Jenkins, un outil d’intégration continue, pour Red Hat. Elles peuvent permettre un attaquant de provoquer une atteinte à la confidentialité, intégrité et disponibilité des données.

CVE-2020-2220 [Score CVSS v3 : 8.0 selon Red Hat, 5.4 selon NVD] : Une vulnérabilité de type “stored XSS” a été découverte dans Jenkins. Un attaquant peut exploiter cette vulnérabilité s’il possède les permissions “Agent/Configure” afin d’exécuter du code arbitraire sur le système. 

CVE-2020-2221 [Score CVSS v3 : 8.0 selon Red Hat, 5.4 selon NVD] : Une vulnérabilité de type “stored XSS” a été découverte dans Jenkins. Un attaquant peut exploiter cette vulnérabilité s’il possède les permissions “Job/Configure” afin d’exécuter du code arbitraire sur le système. 

CVE-2020-2222 [Score CVSS v3 : 8.0 selon Red Hat, 5.4 selon NVD] : Une vulnérabilité de type “stored XSS” a été découverte dans Jenkins. Un attaquant peut exploiter cette vulnérabilité s’il possède les permissions pour configurer les noms de “jobs” afin d’exécuter du code arbitraire sur le système.

CVE-2020-2223 [Score CVSS v3 : 8.0 selon Red Hat, 5.4 selon NVD] : Une vulnérabilité de type “stored XSS” a été découverte dans Jenkins. Un attaquant peut exploiter cette vulnérabilité s’il possède les permissions “Job/Configure” afin d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Atteinte à la confidentialité, intégrité et disponibilité des données

Criticité

  • Score CVSS v3 : 8.0 selon Red Hat, 5.4 selon NVD

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • Red Hat OpenShift Container Platform 4.5 for RHEL 8 x86_64
  • Red Hat OpenShift Container Platform 4.5 for RHEL 7 x86_64
  • Red Hat OpenShift Container Platform for Power 4.5 for RHEL 8 ppc64le
  • Red Hat OpenShift Container Platform for Power 4.5 for RHEL 7 ppc64le
  • Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.5 for RHEL 8 s390x
  • Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.5 for RHEL 7 s390x

CVE

  • CVE-2020-2220
  • CVE-2020-2221
  • CVE-2020-2222
  • CVE-2020-2223

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les paquets Jenkins (détail des paquets disponible dans le bulletin de sécurité Red Hat, section Références)

Solution de contournement

  • Aucune solution de contournement

Liens