2017-1814: Jenkins: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-10-16 17:58)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Jenkins sowie darin verwendeten Plugins ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes und beliebiger Shell-Befehle, die Durchführung eines Denial-of-Service (DoS)-Angriffs, das Ausspähen von Informationen sowie die Durchführung verschiedener Man-in-the-Middle (MitM)-Angriffe.
Der Hersteller informiert über die Schwachstellen und stellt die Versionen Jenkins 2.84 (Main Line) und 2.73.2 (LTS) sowie das Maven-Plugin in der Version 3.0 und das Swarm-Plugin in der Version 3.5 als Sicherheitsupdates bereit. Für die Schwachstelle in dem Speaks!-Plugin (SECURITY-623) ist derzeit kein Sicherheitsupdate erhältlich.
Schwachstellen:
SECURITY-478
Schwachstelle in Jenkins ermöglicht Ausführung beliebiger Shell-BefehleSECURITY-490
Schwachstelle in Jenkins ermöglicht Denial-of-Service-AngriffSECURITY-514
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenSECURITY-555
Schwachstelle in Jenkins ermöglicht Man-in-the-Middle-AngriffSECURITY-557
Schwachstelle in Maven-Plugin ermöglicht Man-in-the-Middle-AngriffSECURITY-597
Schwachstelle in Swarm-Plugin ermöglicht Man-in-the-Middle-AngriffSECURITY-611
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenSECURITY-616
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenSECURITY-617
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenSECURITY-618
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenSECURITY-623
Schwachstelle in Speaks!-Plugin ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.