2019-0472: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-03-07 16:06)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem zumeist entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, die Durchführung von Server-Side-Request-Forgery (SSRF)-Angriffen, die Eskalation von Privilegien und das Ausspähen von Informationen.

Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in unterschiedlichen Plugins und den zur Behebung bereitstehenden Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die folgenden Versionen aktualisieren: AppDynamics Dashboard Plugin 1.0.15, Azure VM Agents Plugin 0.8.1, Bitbar Run-in-Cloud Plugin 2.70.0, Email Extension Plugin 2.65, Groovy Plugin 2.2, Job DSL Plugin 1.72, Matrix Project Plugin 1.14, OSF Builder Suite For Salesforce Commerce Cloud :: Deploy Plugin 1.0.11, Pipeline: Groovy Plugin 2.64, Rabbit-MQ Publisher Plugin 1.2.0, Repository Connector Plugin 1.2.5 und Script Security Plugin 1.54.

Schwachstellen:

SECURITY-1038

Schwachstelle in OSF Builder Suite For Salesforce Commerce Cloud :: Deploy Plugin ermöglicht Ausspähen von Informationen

SECURITY-1087

Schwachstelle in AppDynamics Dashboard Plugin ermöglicht Ausspähen von Informationen

SECURITY-1088

Schwachstelle in Bitbar Run-in-Cloud Plugin ermöglicht u. a. Server-Side-Request-Forgery-Angriff

SECURITY-1330

Schwachstelle in Azure VM Agents Plugin ermöglicht Ausspähen von Informationen

SECURITY-1331

Schwachstelle in Azure VM Agents Plugin ermöglicht Privilegieneskalation

SECURITY-1332

Schwachstelle in Azure VM Agents Plugin ermöglicht Ausspähen von Informationen

SECURITY-1336-1

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

SECURITY-1336-2

Schwachstelle in Pipeline: Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

SECURITY-1338

Schwachstelle in Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

SECURITY-1339

Schwachstelle in Matrix Project Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

SECURITY-1340

Schwachstelle in Email Extension Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

SECURITY-1342

Schwachstelle in Job DSL Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

SECURITY-848

Schwachstelle in Rabbit-MQ Publisher Plugin ermöglicht Ausspähen von Informationen

SECURITY-958

Schwachstelle in Repository Connector Plugin ermöglicht Ausspähen von Informationen

SECURITY-970

Schwachstelle in Rabbit-MQ Publisher Plugin ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.