漏洞信息详情
CloudBees Jenkins CRLF注入漏洞
- CNNVD编号:CNNVD-201211-473
- 危害等级: 中危
- CVE编号: CVE-2012-6072
- 漏洞类型: 输入验证
- 发布时间: 2012-11-27
- 威胁类型: 远程
- 更新时间: 2013-02-26
- 厂 商: cloudbees
- 漏洞来源: Soroush Dalili
漏洞简介
CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。
CloudBees Jenkins 1.491之前版本,Jenkins LTS 1.480.1之前版本,以及Jenkins Enterprise 1.424.6.13之前的1.424.x版本,1.447.4.1之前的1.447.x版本,和1.466.10.1之前的1.466.x版本中存在CRLF注入漏洞。远程攻击者可通过未明向量利用该漏洞注入任意HTTP报头并且实施HTTP响应拆分攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rhn.redhat.com/errata/RHSA-2013-0220.HTML
参考网址
来源: wiki.jenkins-ci.org
链接:https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2012-11-20
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=890607
来源: www.cloudbees.com
链接:http://www.cloudbees.com/jenkins-advisory/jenkins-security-advisory-2012-11-20.cb
来源: REDHAT
名称: RHSA-2013:0220
链接:http://rhn.redhat.com/errata/RHSA-2013-0220.HTML
来源: BID
名称: 56651
链接:http://www.securityfocus.com/bid/56651
受影响实体
- Cloudbees Jenkins:1.424.0.2:-:Enterprise
- Cloudbees Jenkins:1.424.1.1:-:Enterprise
- Cloudbees Jenkins:1.424.2.1:-:Enterprise
- Cloudbees Jenkins:1.424.5.1:-:Enterprise
- Cloudbees Jenkins:1.424.0.4:-:Enterprise
补丁
暂无
评论