中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞(CVE-2024-47806)的安全告知

时间:2024-10-12 17:00:49来源:信息安全部作者:开yun体育官网入口

漏洞详情
Jenkins OpenId Connect Authentication插件中存在高危身份验证缺陷漏洞(CVE-2024-47806),漏洞由于版本 4.354.v321ce67a_1de8 及更早版本未检查 ID Token 的 “aud”(Audience)声明导致允许攻击者破坏身份验证流程并可能获得对 Jenkins 的管理员访问权限。

影响范围
Jenkins OpenId Connect Authentication Plugin <= 4.355.v3a

修复建议
手动更新:
1. 更新 Jenkins OpenId 连接身份验证插件至最新版本。您可以访问 Jenkins 官方插件页面下载最新的插件版本,下载链接: https://plugins.jenkins.io/oic-auth/
自动更新:
1. 在 Jenkins 管理界面中,导航到“系统管理” -> “插件”,然后选择“已安装”的标签页。
2. 找到 OpenId Connect Authentication插件,点击“更新”按钮,系统会自动下载并安装最新版本。
3. 更新完成后,确保 Jenkins 服务自动重启以应用更改。如果系统没有自动重启,请手动重启 Jenkins 服务。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
昆仑漏洞扫描平台专业漏洞检测工具,已更新漏洞检测规则,已支持该漏洞的在线检测。
实战化攻防技能演训平台:模拟真实攻防仿真场景,提升蓝军、红军实战应对能力训练平台。
云瞳云WAF:为中小企业提供一键化接入和专业级防护,有效应对 Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等 Web业务安全防护问题。

参考链接
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-47806
[2]https://www.jenkins.io/security/advisory/2024-10-02/#SECURITY-3441%20(1)

XML 地图