支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-68701 基础信息
漏洞信息
                                        # Jervis 密码确定性AES IV漏洞

## 概述
Jervis 是一个用于 Job DSL 插件脚本和共享 Jenkins 流水线库的库。在版本 2.2 之前,该库使用从密码短语派生的确定性 AES 初始化向量(IV),存在安全漏洞。

## 影响版本
- 受影响版本:Jervis < 2.2
- 修复版本:Jervis 2.2

## 细节
Jervis 在加密过程中使用从固定密码派生的确定性 AES IV,而非随机或唯一 IV。这导致相同的明文在多次加密时生成相同的密文,破坏了加密的语义安全性,可能被用于模式分析或重放攻击。

## 影响
攻击者可能通过分析密文模式推断出加密数据的内容,或利用重复的加密输出进行进一步攻击,导致敏感信息泄露。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Jervis has Deterministic AES IV Derivation from Passphrase
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, Jervis uses deterministic AES IV derivation from a passphrase. This vulnerability is fixed in 2.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用已被攻破或存在风险的密码学算法
来源:美国国家漏洞数据库 NVD
漏洞标题
Jervis 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Jervis是Sam Gleske个人开发者的一个自动化工具。 Jervis 2.2之前版本存在安全漏洞,该漏洞源于从口令确定性派生AES IV,可能导致加密漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-68701 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-68701 的情报信息

  • 标题: Deterministic AES IV Derivation from Passphrase · Advisory · samrocketman/jervis · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            **Vulnerability Summary:**

- **CVE ID:** CVE-2025-68701
- **Severity:** High
- **Affected Package:** net.gleske:jervis (Maven)
- **Affected Versions:** < 2.2
- **Patched Versions:** 2.2

**Vulnerability:**

The `encryptWithAES256` and `decryptWithAES256` methods in `SecurityIO.groovy` generate the Initialization Vector (IV) from a passphrase, leading to IV reuse. This results in consistent ciphertext for the same passphrase and plaintext, compromising the encryption scheme's security.

```groovy
// Vulnerable code snippet
String salt = sha256Sum(passphrase).toLowerCase()
byte[] b_iv = salt.substring(0, 16).getBytes('UTF-8')
```

**Impact:**

- **Internal Use:** Low severity.
- **Direct Use:** High severity, enabling pattern analysis and reducing encryption security.
  
**Patches:**

- Random IV generation and prepending to ciphertext.
- Upgrade to Jervis 2.2.

**Workarounds:**

- None provided.
    Deterministic AES IV Derivation from Passphrase · Advisory · samrocketman/jervis · GitHub

  • 标题: Merge branch 'advisory-fix-1' · samrocketman/jervis@c3981ff · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    Merge branch 'advisory-fix-1' · samrocketman/jervis@c3981ff · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-68701
四、漏洞 CVE-2025-68701 的评论

暂无评论

发表评论