2016-0686: Jenkins: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2016-04-29 13:44)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle im Script Security Plugin von Jenkins ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle im Extra Columns Plugin ermöglicht einem entfernten, einfach authentifizierten Angreifer die Durchführung eines Cross-Site-Scripting-Angriffes.

Jenkins stellt die aktualisierten Versionen der Plugins Script Security 1.18.1 und Extra Columns 1.17 bereit, um die Schwachstellen zu beheben. Für Fedora 24 stehen Sicherheitsupdates auf Jenkins 1.651.1 sowie für das Script Security Plugin auf Version 1.18.1 bereit. Das Extra Columns Plugin (CVE-2016-3101) wird hier nicht erwähnt.

Schwachstellen:

CVE-2016-3101

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2016-3102

Schwachstelle in Jenkins ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.