2018-1064: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2018-06-04 18:49)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem entfernten, einfach authentisierten Angreifer verschiedene Server-Side-Request-Forgery-Angriffe (Git-, GitHub-, GitHub-Branch-Source- und CAS-Plugin), das Ausspähen von Informationen (GitHub-, GitHub-Pull-Request-Builder-, Black-Duck-Hub-, und Black-Duck-Detect-Plugin) sowie das Ausführen beliebigen Programmcodes (AbsInt-Astrée-Plugin). Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen (Kubernetes-Plugin).
Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in unterschiedlichen Plugins und den zur Behebung zur Verfügung stehenden Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die Versionen AbsInt Astrée Plugin 1.0.7, Black Duck Detect Plugin 1.4.1, Black Duck Hub Plugin 4.0.1, CAS Plugin 1.4.2, Git Plugin 3.9.1, GitHub Plugin 1.29.1, GitHub Branch Source Plugin 2.3.5, GitHub Pull Request Builder Plugin 1.42.0 und Kubernetes Plugin 1.7.1 aktualisieren.
Schwachstellen:
SECURITY-799
Schwachstelle in GitHub Plugin ermöglicht Server-Side-Request-Forgery-AngriffSECURITY-804
Schwachstelle in GitHub Plugin ermöglicht u.a. Ausspähen von InformationenSECURITY-805
Schwachstelle in GitHub Pull Request Builder Plugin ermöglicht u.a. Ausspähen von InformationenSECURITY-806
Schwachstelle in GitHub Branch Source Plugin ermöglicht Server-Side-Request-Forgery-AngriffSECURITY-807
Schwachstelle in AbsInt-Astrée Plugin ermöglicht Ausführen beliebigen ProgrammcodesSECURITY-809
Schwachstelle in CAS Plugin ermöglicht Server-Side-Request-Forgery-AngriffSECURITY-810
Schwachstelle in Git Plugin ermöglicht Server-Side-Request-ForgerySECURITY-865
Schwachstelle in Black Duck Hub Plugin ermöglicht u.a. Ausspähen von InformationenSECURITY-866
Schwachstelle in Black Duck Detect Plugin ermöglicht u.a. Ausspähen von InformationenSECURITY-883
Schwachstelle im Kubernetes Plugin ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.