보안 권고문

JenKins 제품군 2024년 1월 보안 업데이트 권고

개요

JenKins(https://www.jenkins.io/)에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트 하시기 바랍니다.

 

대상 제품
 
CVE-2024-23897

  • Jenkins 2.441 이하, LTS 2.426.2 이하의 모든 버전

 

CVE-2024-23898

  • Jenkins 2.217 이상 2.441 이하의 모든 버전, LTS 2.222.1 이상 2.426.2 이하의 모든 버전

 

CVE-2024-23899

  • Jenkins의 Git Server 플러그인 99.va_0826a_b_cdfa_d 이하의 모든 버전

 

CVE-2023-6147, CVE-2023-6148, CVE pending

  • Jenkins의 Qualys Policy Compliance Scanning Connector 플러그인 1.0.5 이하의 모든 버전

 

CVE-2024-23904

  • Jenkins의 Log Command 플러그인 1.0.2 이하의 모든 버전

 

CVE-2024-23905

  • Jenkins의 Red Hat Dependency Analytics 플러그인 0.7.1 이하의 모든 버전

 

CVE-2024-23900

  • Jenkins의 Matrix Project 플러그인 822.v01b_8c85d16d2 이하의 모든 버전

 

CVE-2024-23901, CVE-2024-23902, CVE-2024-23903

  • Jenkins의 GitLab Branch Source 플러그인 684.vea_fa_7c1e2fe3 이하의 모든 버전

 

해결된 취약점

  • CVE-2024-23897 : JenKins에서 발생하는 CLI를 통한 임의 파일 읽기 취약점
  • CVE-2024-23898 : JenKins에서 발생하는 CLI의 Cross-site WebSocket hijacking 취약점
  • CVE-2024-23899 : Jenkins의 Git Server 플러그인에서 발생하는 임의 파일 읽기 취약점
  • CVE-2023-6147 : Jenkins의 Qualys Policy Compliance Scanning Connector 플러그인에서 발생하는 XXE 취약점
  • CVE-2023-6148 : Jenkins의 Qualys Policy Compliance Scanning Connector 플러그인에서 발생하는 XSS 취약점
  • CVE pending : Jenkins의 Qualys Policy Compliance Scanning Connector 플러그인에서 발생하는 잘못된 권한 검사로 인한 자격 증명 캡처 허용 취약점
  • CVE-2024-23904 : Jenkins의 Log Command 플러그인에서 발생하는 임의 파일 읽기 취약점
  • CVE-2024-23905 : Jenkins의 Red Hat Dependency Analytics 플러그인에서 발생하는 사용자 콘텐츠에 대한 Content-Security-Policy 보호 비활성화 취약점
  • CVE-2024-23900 : Jenkins의 Matrix Project 플러그인에서 발생하는 Path traversal 취약점
  • CVE-2024-23901 : Jenkins의 GitLab Branch Source 플러그인에서 발생하는 공유프로젝트의 무조건적인 검색 허용 취약점
  • CVE-2024-23902 : Jenkins의 GitLab Branch Source 플러그인에서 발생하는 CSRF 취약점
  • CVE-2024-23903 : Jenkins의 GitLab Branch Source 플러그인에서 발생하는 실행시간 예측에 따른 webhook 토큰 비교 취약점

 

취약점 패치

2024년 1월 24일, 25일 업데이트를 통해 취약점 패치가 제공되었습니다. 취약점 패치에 대한 보다 자세한 사항은 “JenKins” 사이트의 보안 권고 문서를 참고하시기 바랍니다.

  • CVE-2024-23897, CVE-2024-23898 : Jenkins 2.442, LTS 2.426.3
  • CVE-2024-23899 : Jenkins의 Git Server 플러그인 99.101.v720e86326c09
  • CVE-2023-6147, CVE-2023-6148, CVE pending : Jenkins의 Qualys Policy Compliance Scanning Connector 플러그인 1.0.6
  • CVE-2024-23904 : 패치버전 제공되지 않음[7]
  • CVE-2024-23905 : Jenkins의 Red Hat Dependency Analytics 플러그인 0.9.0
  • CVE-2024-23900 : Jenkins의 Matrix Project 플러그인 822.824.v14451b_c0fd42
  • CVE-2024-23901, CVE-2024-23902, CVE-2024-23903 : Jenkins의 GitLab Branch Source 플러그인 688.v5fa_356ee8520

 

참고 사이트

[1] Jenkins Security Advisory 2024-01-24
https://www.jenkins.io/security/advisory/2024-01-24/

[2] Git server
https://plugins.jenkins.io/git-server

[3] Matrix Project
https://plugins.jenkins.io/matrix-project/

[4] GitLab Branch Source
https://plugins.jenkins.io/gitlab-branch-source/

[5] Qualys Policy Compliance Scanning Connector
https://plugins.jenkins.io/qualys-pc/

[6] Red Hat Dependency Analytics
https://plugins.jenkins.io/redhat-dependency-analytics/

[7] Log Command
https://plugins.jenkins.io/log-command/

© AhnLab, Inc. All rights reserved.

(우) 13493 경기도 성남시 분당구 판교역로 220

대표이사 : 강석균

사업자등록번호 : 214-81-83536

개인정보처리방침

|

이용약관

|

ASEC