DFN-CERT

Advisory-Archiv

2017-1386: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien

Historie:

Version 1 (2017-08-08 18:11)
Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Plugins für Jenkins können von einem entfernten, einfach authentisierten Angreifer ausgenutzt werden, um seine Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, sensitive Informationen auszuspähen und Cross-Site-Scripting-Angriffe auszuführen.

Der Hersteller informiert in einem Sicherheitshinweis über die Schwachstellen in den verschiedenen Plugins. Im Plugin Blue Ocean wurden mehrere Schwachstellen entdeckt, in den Plugins Blue Ocean sowie Pipeline: Groovy und Script Security befinden sich die schwersten der entdeckten Schwachstellen (Schweregrad 'hoch' laut Hersteller).

Zur Behebung der Schwachstellen stehen die Versionen Blue Ocean 1.1.6, Config File Provider Plugin 2.16.2, Datadog Plugin 0.5.7, Deploy to container Plugin 1.13, DRY Plugin 2.49, OWASP Dependency-Check Plugin 2.0.1.2, Pipeline: Groovy Plugin 2.39, Pipeline: Input Step Plugin 2.8, Script Security Plugin 1.31 und Static Analysis Utilities Plugin 1.92 zur Verfügung. Links zu den aktuellen Versionen der einzelnen Plugins entnehmen Sie der Übersicht am Anfang des referenzierten Sicherheitshinweises.

Schwachstellen:

CVE-2017-1000102 CVE-2017-1000103

Schwachstellen in Jenkins Plugins Static Analysis Utilities und DRY ermöglichen Cross-Site-Scripting-Angriff

CVE-2017-1000104

Schwachstelle in Jenkins Plugin Config File Provider ermöglicht Ausspähen von Informationen

CVE-2017-1000105

Schwachstelle in Jenkins Plugin Blue Ocean ermöglicht Privilegieneskalation

CVE-2017-1000106

Schwachstelle in Jenkins Plugin Blue Ocean ermöglicht Privilegieneskalation

CVE-2017-1000107

Schwachstellen in Jenkins Plugin Script Security ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2017-1000108

Schwachstelle in Jenkins Plugin Input Step ermöglicht Privilegieneskalation

CVE-2017-1000109

Schwachstelle in Jenkins Plugin OWASP Dependency-Check ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-1000110

Schwachstelle in Jenkins Plugin Blue Ocean ermöglicht Privilegieneskalation

CVE-2017-1000113

Schwachstelle in Jenkins Plugin Deploy to Container ermöglicht Ausspähen von Informationen

CVE-2017-1000114

Schwachstelle in Jenkins Plugin Datadog ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.