2018-0880: Jenkins und Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. einen XML-External-Entity-(XXE)-Angriff
Historie:
- Version 1 (2018-05-11 13:48)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Jenkins sowie in Jenkins-Plugins ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen, die Manipulation von Dateien, einen XML-External-Entity-(XXE)-Angriff, das Darstellen falscher Informationen, einen Cross-Site-Scripting (XSS)-Angriff sowie das Umgehen von Sicherheitsvorkehrungen.
Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in unterschiedlichen Plugins und den zur Behebung bereitstehenden Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die Versionen Black Duck Hub Plugin 4.0.0 sowie Groovy Postbuild Plugin 2.4 aktualisieren. Für Jenkins LTS steht die Versionen 2.107.3 sowie für Jenkins Weekly die Version 2.121 zur Behebung der Schwachstellen zur Verfügung. Für die Schwachstelle im Gitlab Hook Plug steht zur Zeit keine Behebung zur Verfügung.
Schwachstellen:
SECURITY-263
Schwachstelle in Gitlab Hook Plugin ermöglicht Ausspähen von InformationenSECURITY-670
Schwachstelle in Black Duck Hub Plugin ermöglicht Manipulation von DateienSECURITY-671
Schwachstelle in Black Duck Hub Plugin ermöglicht XML-External-Entity-(XXE)-AngriffSECURITY-771
Schwachstelle in CLI ermöglicht Ausspähen von InformationenSECURITY-786
Schwachstelle in Jenkins ermöglicht Darstellen falscher InformationenSECURITY-788
Schwachstelle in Jenkins ermöglicht Umgehen von SicherheitsvorkehrungenSECURITY-794
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenSECURITY-821
Schwachstelle in Groovy Postbuild Plugin ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.