2016-0338: Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-02-26 12:57)

Neues Advisory

Version 2 (2016-03-04 11:14)

Für die Distributionen Fedora 22 und Fedora 23 stehen Sicherheitsupdates zur Behebung der Schwachstellen in Form der Pakete jenkins-1.609.3-6.fc22, jenkins-remoting-2.53.3-1.fc2, jenkins-remoting-2.53.3-1.fc23 und jenkins-1.625.3-3.fc23 im Status 'testing' zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentisierten Angreifer das Erlangen von Benutzerrechten und die Ausführung beliebigen Programmcodes. Ein entfernter, einfach authentisierter Angreifer kann mit Hilfe mehrerer weiterer Schwachstellen beliebigen Programmcode ausführen sowie Cross-Site-Scripting (XSS)- oder Cross-Site-Request-Forgery (CSRF)-Angriffe durchführen und dadurch Informationen ausspähen.

Betroffen sind alle Programmversionen bis einschließlich 1.642.1 LTS und 1.649. Der Hersteller stellt die fehlerbereinigten Versionen 1.642.2 LTS und 1.650 als Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2016-0788

Schwachstelle in Jenkins ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-0789

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting

CVE-2016-0790

Schwachstelle in Jenkins ermöglicht Erlangen von Benutzerrechten

CVE-2016-0791

Schwachstelle in Jenkins ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2016-0792

Schwachstelle in Jenkins ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.