一、 漏洞 CVE-2025-68704 基础信息

                                        # Jervis 弱随机数时序攻击漏洞

## 概述
Jervis 是一个用于 Jenkins Job DSL 脚本和共享 pipeline 库的库。在 2.2 版本之前，该库使用了 `java.util.Random()` 来应对时序攻击，但由于该随机数生成器不具备密码学安全性，存在安全漏洞。

## 影响版本
2.2 之前的版本。

## 细节
Jervis 在 2.2 之前使用 `java.util.Random()` 生成随机值，用于缓解时序攻击。然而，`java.util.Random()` 并非密码学安全的随机数生成器（CSPRNG），因此无法有效抵御攻击者利用时间差异推测敏感信息。

## 影响
攻击者可能利用该弱点实施时序攻击，推测系统内部状态或敏感逻辑执行时间，进而威胁系统安全。该问题已在版本 2.2 中修复。
                                        

二、漏洞 CVE-2025-68704 的公开POC

三、漏洞 CVE-2025-68704 的情报信息

• 标题： Weak Random for Timing Attack Mitigation · Advisory · samrocketman/jervis · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          根据提供的图片信息，以下是关于漏洞的关键信息：
  
  - **漏洞名称**: Weak Random for Timing Attack Mitigation
  - **GitHub安全公告编号**: GHSA-c9q6-g3hr-8gww
  - **CVE编号**: CVE-2025-68704
  - **严重性**: Moderate (中等)
  - **受影响的版本**: <2.2
  - **修补的版本**: 2.2
  - **漏洞描述**: 使用 java.util.Random() 进行随机延迟，这不安全，因为 java.util.Random() 不是密码学安全的随机数生成器。攻击者如果能预测随机延迟，仍可进行时间攻击。
  - **漏洞位置**: jervis/src/main/groovy/net/gleske/jervis/tools/SecurityIO.groovy 行 593-594
  - **影响**: 如果攻击者能预测随机延迟，他们仍能进行时间攻击。
  - **修复措施**: Jervis 将使用 SecureRandom 进行时间随机化，升级到版本 2.2。
  - **变通措施**: 暂无明确变通措施。
  - **参考**: OWASP Cryptographic Failures
                                          

  

• 标题： Merge branch 'advisory-fix-1' · samrocketman/jervis@c3981ff · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-68704

四、漏洞 CVE-2025-68704 的评论