2018-1419: Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten

Historie:

Version 1 (2018-07-19 17:29)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentisierten Angreifer das Erlangen von Administratorrechten, den Lesezugriff auf sämtliche Dateien, auf die der Jenkins Masterprozess Zugriff hat, und einen Cross-Site-Scripting (XSS)-Angriff. Mehrere weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer mit der Berechtigung 'Overall/Read' die Eskalation seiner Privilegien, das Ausspähen von Informationen zu installierten Plugins und einen Cross-Site-Scripting-Angriff.

Der Hersteller veröffentlicht Jenkins 2.133 und Jenkins 2.121.2 LTS zur Behebung der Schwachstellen.

Schwachstellen:

CVE-2018-1999001

Schwachstelle in Jenkins ermöglicht Erlangen von Administratorrechten

CVE-2018-1999002

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2018-1999003

Schwachstelle in Jenkins ermöglicht Privilegieneskalation

CVE-2018-1999004

Schwachstelle in Jenkins ermöglicht Privilegieneskalation

CVE-2018-1999005

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-1999006

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2018-1999007

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.