2019-0808: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2019-04-23 18:18)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, einfach authentisierten Benutzer, als Angreifer, das Umgehen von Sicherheitsvorkehrungen und darüber den Aufbau von Verbindungen zu manipulierten Systemen, die Durchführung von Cross-Site-Request-Forgery (CSRF)-Angriffen sowie das Ausspähen von Anmeldedaten und Zertifikaten. Eine Schwachstelle ermöglicht einem solchen Angreifer das Ausbrechen aus einer geschützten Umgebung (Sandbox) und in der Folge die Ausführung beliebigen Programmcodes.
Mit dem veröffentlichten Sicherheitshinweis wird über die existierenden Schwachstellen informiert. Für Azure PublisherSettings Credentials Plugin steht die Version 1.5, für GitLab Plugin die Version 1.5.12, für jira-ext Plugin die Version 0.9 und für ontrack Jenkins Plugin die Version 3.4.1 als Sicherheitsupdate bereit. Für das XebiaLabs XL Deploy Plugin steht zum jetzigen Zeitpunkt kein Sicherheitsupdate zur Verfügung.
Schwachstellen:
CVE-2019-10300 CVE-2019-10301
Schwachstellen in Gitlab Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-10302
Schwachstelle in jira-ext Plugin ermöglicht Ausspähen von InformationenCVE-2019-10303
Schwachstelle in Azure PublisherSettings Credentials Plugin ermöglicht Ausspähen von InformationenCVE-2019-10304 CVE-2019-10305
Schwachstellen in XebiaLabs XL Deploy Plugin ermöglichen u. a. Umgehen von SicherheitsvorkehrungenCVE-2019-10306
Schwachstelle in ontrack Jenkins Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.