2017-2239: Jenkins-Plugin: Eine Schwachstelle ermöglicht das Lesen beliebiger Dateien

Historie:

Version 1 (2017-12-11 16:55)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer mit der Berechtigung, abgesicherte (sandboxed) Groovy- und Pipeline-Skripte zu erstellen, kann eine Schwachstelle im Jenkins-Plugin Script Security ausnutzen, um Lesezugriff auf beliebige Dateien des Master-Dateisystems von Jenkins zu erhalten. Dadurch sind weitere Angriffe möglich.

Die Schwachstelle wird mit Version 1.37 des Script Security Plugins geschlossen. Diese Version steht aktuell noch nicht als Download zur Verfügung.

Schwachstellen:

SECURITY-663

Schwachstelle in Script Security-Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.