2018-0154: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. XML-eXternal-Entity-Angriffe
Historie:
- Version 1 (2018-01-23 12:51)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein entfernter, einfach authentifizierter Angreifer kann mehrere Schwachstellen in den Plugins PMD, Checkstyle, DRY, FindBugs und Warnings ausnutzen, um XML-eXternal-Entity-Angriffe durchzuführen und dadurch Informationen auszuspähen und weitere Angriffe durchzuführen. Zwei Schwachstellen in den Plugins Release und Translation Assistance ermöglichen dem Angreifer Cross-Site-Request-Forgery (CSRF)-Angrffe, eine weitere Schwachstelle im Plugin 'Pipeline: Nodes and Processes' ermöglicht dem Angreifer die Eskalation seiner Privilegien. Darüber hinaus wurde die Ursache für einen bereits bekannten möglichen Cross-Site-Scripting (XSS)-Angriff im Ant-Plugin gefunden, die einen weiteren Cross-Site-Scripting-Angriff an anderer Stelle im Plugin ermöglicht.
Es stehen die Versionen Ant 1.8, Checkstyle 3.50, DRY 2.50, FindBugs 4.72, Pipeline: Nodes and Processes 2.18, PMD 3.50, Release 2.10, Translation Assistance 1.16 und Warnings 4.65 als Sicherheitsupdates für die einzelnen Plugins zur Verfügung.
Schwachstellen:
SECURITY-507
Schwachstelle in Translation Assistance-Plugin ermöglicht Cross-Site-Request-Forgery-AngriffSECURITY-607
Schwachstelle in Release-Plugin ermöglicht Cross-Site-Request-Forgery-AngriffSECURITY-655 SECURITY-656 SECURITY-657 SECURITY-658 SECURITY-695
Schwachstellen in Jenkins-Plugins ermöglichen XML-eXternal-Entity-AngriffeSECURITY-675
Schwachstelle in Pipeline: Nodes and Processes-Plugin ermöglicht PrivilegieneskalationSECURITY-694
Schwachstelle in Ant-Plugin ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.