2018-2487: Jenkins: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-12-06 16:39)

Neues Advisory

Version 2 (2019-03-13 15:43)

Red Hat stellt RPM-Pakete für das OpenShift Container Platform Release 3.11.59 als Bug Fix und Enhancement Update bereit, womit auch die Schwachstellen behoben werden.

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie einen Denial-of-Service (DoS)-Angriff. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausspähen von Dateien und einen weiteren Denial-of-Service-Angriff.

Jenkins stuft die Schwachstelle SECURITY-595 mit 'critical' (kritisch) ein und empfiehlt allen Nutzern ein schnellstmögliches Update. Jenkins vermutet, dass höchstwahrscheinlich weitere Angriffsvektoren dieser Schwachstelle zu Tage treten und diese dementsprechend erst in künftigen Releases behoben werden können. Die aktuellen Releases Jenkins weekly 2.154 und Jenkins LTS 2.138.4 und 2.150.1 stehen bereit, um die Schwachstellen zu beheben bzw. beinhalten weitere Mitigationen gegen die Schwachstelle SECURITY-595.

Schwachstellen:

CVE-2018-1000861

Schwachstelle in Jenkins ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1000862

Schwachstelle in Jenkins ermöglicht Ausspähen von Dateien

CVE-2018-1000863

Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

CVE-2018-1000864

Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.