2019-0634: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2019-03-29 16:14)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem zumeist entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, die Durchführung von Cross-Site-Scripting (XSS)- und Server-Side-Request-Forgery (SSRF)-Angriffen sowie das Ausspähen von Informationen.
Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in unterschiedlichen Plugins und den zur Behebung bereitstehenden Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die folgenden Versionen aktualisieren: Arxan MAM Publisher Plugin 2.2, Codebeamer Test Results Trend Updater Plugin 1.1.4, ECS publisher Plugin 1.0.1, Fortify on Demand Uploader Plugin 3.0.11, Lockable Resources Plugin 2.5, Pipeline: Groovy Plugin 2.65, PRQA Plugin 3.1.2, Script Security Plugin 1.56 und Slack Notification Plugin 2.20.
Schwachstellen:
CVE-2019-1003040 CVE-2019-1003041
Schwachstellen in Script Security Plugin und Pipeline: Groovy Plugin ermöglichen Umgehen von SicherheitsvorkehrungenCVE-2019-1003042
Schwachstelle in Lockable Resources Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2019-1003043 CVE-2019-1003044
Schwachstellen in Slack Notification Plugin ermöglichen Server-Side-Request-Forgery-AngriffCVE-2019-1003045
Schwachstelle in ECS Publisher Plugin ermöglicht Ausspähen von InformationenCVE-2019-1003046 CVE-2019-1003047
Schwachstellen in Fortify on Demand Uploader Plugin ermöglichen Server-Side-Request-Forgery-AngriffCVE-2019-1003048
Schwachstelle in PRQA Plugin ermöglicht Ausspähen von InformationenSECURITY-1086
Schwachstelle in Codebeamer Test Results Trend Updater Plugin ermöglicht Ausspähen von InformationenSECURITY-1328
Schwachstelle in Arxan MAM Publisher Plugin ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.