2018-0715: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2018-04-16 19:02)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen wie der Pre-Login Session ID (Google Login Plugin) und des SMTP-Passworts (Email Extension Plugin) sowie weiterer Informationen durch Phishing-Angriffe (ebenfalls Google Login Plugin). Ein entfernter, einfach authentifizierter Angreifer kann einen Cross-Site-Scripting (XSS)-Angriff durchführen (S3 Publisher Plugin) und Dateien außerhalb des Buildverzeichnisses manipulieren (HTML Publisher Plugin).

Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in unterschiedlichen Plugins und den zur Behebung zur Verfügung stehenden Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die Versionen Email Extension Plugin 2.62, Google Login Plugin 1.3.1, HTML Publisher Plugin 1.16 und S3 Publisher Plugin 0.11.0 aktualisieren.

Schwachstellen:

SECURITY-442

Schwachstelle in Google Login Plugin ermöglicht Ausspähen von Informationen

SECURITY-684

Schwachstelle in Google Login Plugin ermöglicht Phishing-Angriffe

SECURITY-729

Schwachstelle in Email Extension Plugin ermöglicht Ausspähen von Informationen

SECURITY-730

Schwachstelle in S3 Publisher Plugin ermöglicht Cross-Site-Scripting-Angriff

SECURITY-784

Schwachstelle in HTML Publisher Plugin ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.