2019-0691: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von intendierten Sicherheitsmaßnahmen
Historie:
- Version 1 (2019-04-08 20:28)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, einfach authentisierten Benutzer, als Angreifer, das Umgehen von Sicherheitsvorkehrungen und darüber den Aufbau von Verbindungen zu manipulierten Systemen, die Durchführung von Cross- und Server-Site-Request-Forgery (CSRF & SSRF)-Angriffen sowie das Ausspähen von Anmeldedaten.
Mit dem veröffentlichten Security Advisory wird über die existierenden Schwachstellen informiert. Zum jetzigen Zeitpunkt stehen lediglich für das Netsparker Cloud Scan Plugin in Form der Version 1.1.6 und das youtrack-plugin Plugin in Form der Version 0.7.2 Sicherheitsupdates zur Behebung eines Bruchteils der ermittelten 72 Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2019-1003051 CVE-2019-1003052 CVE-2019-1003055 CVE-2019-1003057 CVE-2019-1003062
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003053 CVE-2019-1003054 CVE-2019-1003056 CVE-2019-1003061 CVE-2019-1003067
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003058 CVE-2019-1003059
Schwachstellen in FTP publisher Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003060
Schwachstelle in Official OWASP ZAP Plugin ermöglicht Ausspähen von InformationenCVE-2019-1003063 CVE-2019-1003064 CVE-2019-1003065 CVE-2019-1003066 CVE-2019-1003069
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003068 CVE-2019-1003072 CVE-2019-1003073 CVE-2019-1003088 CVE-2019-1003089
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003070 CVE-2019-1003071 CVE-2019-1003074 CVE-2019-1003075 CVE-2019-1003094
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003076 CVE-2019-1003077
Schwachstellen in Audit to Database Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003078 CVE-2019-1003079
Schwachstellen in VMware Lab Manager Slaves Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003080 CVE-2019-1003081
Schwachstellen in OpenShift Deployer Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003082 CVE-2019-1003083
Schwachstellen in Gearman Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003084 CVE-2019-1003085
Schwachstellen in Zephyr Enterprise Test Management Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003086 CVE-2019-1003087
Schwachstellen in Chef Sinatra Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003090 CVE-2019-1003091
Schwachstellen in SOASTA CloudTest Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003092 CVE-2019-1003093
Schwachstellen in Nomad Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-1003095 CVE-2019-1003097 CVE-2019-10280 CVE-2019-10281 CVE-2019-10285 CVE-2019-10287
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003096 CVE-2019-10277 CVE-2019-10282 CVE-2019-10283 CVE-2019-10284 CVE-2019-10286 CVE-2019-10294 CVE-2019-10295
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-1003098 CVE-2019-1003099
Schwachstellen in openid Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-10278 CVE-2019-10279
Schwachstellen in jenkins-reviewbot Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-10288 CVE-2019-10296 CVE-2019-10297 CVE-2019-10298 CVE-2019-10299
Schwachstellen in Jenkins Plugins ermöglichen Ausspähen von InformationenCVE-2019-10289 CVE-2019-10290
Schwachstellen in Netsparker Cloud Scan Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-10291
Schwachstelle in Netsparker Cloud Scan Plugin ermöglicht Ausspähen von InformationenCVE-2019-10292 CVE-2019-10293
Schwachstellen in Kmap Plugin ermöglichen u. a. Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.