2019-0533: Red Hat Openshift, Jenkins, HAProxy: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-03-15 15:51)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Server
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem entfernten, zumeist nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen (Script Security), das Ausführen von beliebigem Programmcode (Script Security, Pipeline: Groovy, Pipeline: Declarative), verschiedene Cross-Site-Request-Forgery (CSRF)-Angriffe (Blue Ocean, Git), verschiedene Cross-Site-Scripting (XSS)-Angriffe (Blue Ocean, Config File), das Ausspähen von Informationen (Token Macro) sowie einen Denial-of-Service (DoS)-Angriff (Token Macro).

Mehrere Schwachstellen in HAProxy ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen oder das Ausspähen von Informationen.

Eine Schwachstelle in Prometheus ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs.

Red Hat bietet Red Hat OpenShift Container Platform Release 3.11.82 als Sicherheitsupdate in Form des Paketes 'atomic-openshift-3.11.82-1' zur Behebung der Schwachstellen an.

Schwachstellen:

CVE-2018-1000865

Schwachstelle in Jenkins Script Security Plugin und Pipeline Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1000866

Schwachstelle in Jenkins Script Security Plugin und Pipeline Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-20102

Schwachstelle in HAProxy ermöglicht u. a. Ausspähen von Informationen

CVE-2018-20103

Schwachstelle in HAProxy ermöglicht Denial-of-Service-Angriff

CVE-2018-20615

Schwachstelle in HAProxy ermöglicht Denial-of-Service-Angriff

CVE-2019-1003000

Schwachstelle in Jenkins Script Security Plugin ermöglicht die Ausführung beliebigen Programmcodes

CVE-2019-1003001

Schwachstelle in Jenkins Pipeline: Groovy Plugin ermöglicht die Ausführung beliebigen Programmcodes

CVE-2019-1003002

Schwachstelle in Jenkins Pipeline: Declarative Plugin ermöglicht die Ausführung beliebigen Programmcodes

CVE-2019-1003010

Schwachstelle in Git Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-1003011

Schwachstelle in Token Macro Plugin ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2019-1003012

Schwachstelle in Blue Ocean ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-1003013

Schwachstelle in Blue Ocean Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-1003014

Schwachstelle in Config File Provider Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-3826

Schwachstelle in Prometheus emöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.