2018-0340: Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2018-02-20 16:37)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, einfach authentifizierten Angreifer mit der Berechtigung 'Overall/Read' das Ausspähen von Informationen aus Plugin-Ressourcen und die Durchführung eines Server-Side-Request-Forgery-Angriffes.

Der Hersteller veröffentlicht Jenkins 2.107 und Jenkins 2.89.4 LTS zur Behebung dieser Schwachstellen. Alle vorherigen Versionen werden als verwundbar angesehen.

Schwachstellen:

CVE-2018-6356

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

SECURITY-506

Schwachstelle in Jenkins ermöglicht Server-Side-Request-Forgery-Angriff

SECURITY-717

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.