2017-2279: Jenkins: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2017-12-14 15:06)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Zwei Schwachstellen in Jenkins liegen in einem kritischen Wettlauf beim Start von Jenkins begründet und ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Die schwerwiegendere der beiden Schwachstellen betrifft Installationen von Jenkins 2.81 bis 2.94 und 2.89.1 LTS und erlaubt dem Angreifer effektiv die komplette Kompromittierung von Jenkins-Installationen, da während der Installation eigentlich standardmäßig vorgesehene Sicherheitsvorkehrungen deaktiviert wurden. Die Schwachstelle betrifft etwa 20% aller Installationen. Die zweite Schwachstelle betrifft alle Installationen von Jenkins und ermöglicht dem Angreifer das Umgehen des Schutzes vor Cross-Site-Request-Forgery (CSRF)-Angriffen.
Der Hersteller veröffentlicht Jenkins 2.95 und Jenkins 2.89.2 LTS zur Behebung der Schwachstellen. Anwender, die Jenkins 2.81 bis 2.94 und 2.89.1 LTS bereits installiert haben, sollten dringend die Einstellungen unter 'Configure Global Security' prüfen.
Schwachstellen:
SECURITY-667-A
Schwachstelle in Jenkins ermöglicht Umgehen von SicherheitsvorkehrungenSECURITY-667-B
Schwachstelle in Jenkins ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.