漏洞信息详情
CloudBees Jenkins Subversion插件证书信息泄露漏洞
- CNNVD编号:CNNVD-201311-418
- 危害等级: 中危
- CVE编号: CVE-2013-6372
- 漏洞类型: 信任管理
- 发布时间: 2013-11-28
- 威胁类型: 本地
- 更新时间: 2014-05-12
- 厂 商: jenkins-ci
- 漏洞来源:
漏洞简介
CloudBees CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Subversion是其中的一个版本控制系统插件。
Jenkins Subversion插件1.53及之前版本中存在安全漏洞,该漏洞源于程序使用base64编码存储凭证。本地用攻击者可通过读取subversion.credentials文件利用该漏洞获取密码和SSH私钥。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-11-20
参考网址
来源:github.com
链接:https://github.com/jenkinsci/subversion-plugin/commit/7d4562d6f7e40de04bbe29577b51c79f07d05ba6
来源:wiki.jenkins-ci.org
链接:https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-11-20
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1032391
来源:SECUNIA
名称:55776
链接:http://secunia.com/advisories/55776
来源: BID
名称: 63864
链接:http://www.securityfocus.com/bid/63864
受影响实体
- Jenkins-Ci Subversion-Plugin:1.28
- Jenkins-Ci Subversion-Plugin:1.30
- Jenkins-Ci Subversion-Plugin:1.29
- Jenkins-Ci Subversion-Plugin:1.31
- Jenkins-Ci Subversion-Plugin:1.41
补丁
- subversion-plugin-subversion-1.54
- subversion-plugin-subversion-1.54
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论