2016-0770: Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Historie:
- Version 1 (2016-05-12 19:38)
- Neues Advisory
- Version 2 (2016-05-18 11:25)
- Für Fedora 22, 23 und 24 stehen (Backport-)Sicherheitsupdates in Form der Pakete jenkins-1.609.3-7.fc22, jenkins-1.625.3-4.fc23, bzw. jenkins-1.651.2-1.fc24 im Status 'testing' bereit.
- Version 3 (2016-06-07 14:15)
- Für Red Hat OpenShift Enterprise 3.2 steht ein Sicherheitsupdate für Jenkins bereit.
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Eine Schwachstelle in Jenkins ermöglicht einem entfernten, nicht authentifizierten Angreifer, Informationen über die in Jenkins installierten Plugins auszuspähen. Ein entfernter, einfach authentifizierter Angreifer kann mehrere weitere Schwachstellen ausnutzen, um weitere, auch sensitive, Informationen auszuspähen, anderen Benutzern den Zugang zu Jenkins zu verwehren oder einen Denial-of-Service-Angriff auf Jenkins selbst auszuführen, falsche Informationen darstellen und beliebige Umgebungsvariablen in Builds einschleusen, die bestimmte Plugins verwenden (SECURITY-170). Jenkins stellt eine Liste der so verwundbaren Plugins zur Verfügung.
Zur Behebung der Schwachstellen stellt Jenkins die Versionen 2.3 und 1.651.2 (LTS) zur Verfügung.
Schwachstellen:
CVE-2016-3721
Schwachstelle in Jenkins ermöglicht Manipulation von DateienCVE-2016-3722
Schwachstelle in Jenkins ermöglicht Denial-of-Service-AngriffCVE-2016-3723
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenCVE-2016-3724
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenCVE-2016-3725
Schwachstelle in Jenkins ermöglicht Denial-of-Service-AngriffCVE-2016-3726
Schwachstelle in Jenkins ermöglicht Darstellung falscher InformationenCVE-2016-3727
Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.