DFN-CERT

Advisory-Archiv

2019-0886: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-05-03 19:31)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, einfach authentisierten Benutzer, als Angreifer, das Umgehen von Sicherheitsvorkehrungen und darüber den Aufbau von Verbindungen zu manipulierten Systemen, die Durchführung von Cross-Site-Request-Forgery (CSRF)-Angriffen sowie das Ausspähen von Anmeldedaten. Ein entfernter, nicht authentisierter Angreifer kann ebenfalls Sicherheitsvorkehrungen in Form der SSL/TLS-Zertifikatvalidierung umgehen und Benutzerrechte erlangen und ein nicht authentisierter Angreifer im benachbarten Netzwerk kann Informationen ausspähen oder einen Denial-of-Service (DoS)-Angriff durchführen.

Mit dem veröffentlichten Sicherheitshinweis wird über die existierenden Schwachstellen informiert. Für Ansible Tower Plugin steht die Version 0.9.2, für Aqua MicroScanner Plugin die Version 1.0.6, für Azure AD Plugin die Version 0.3.4, für GitHub Authentication Plugin die Version 0.32, für SiteMonitor Plugin die Version 0.6 und für Static Analysis Utilities Plugin die Version 1.96 als Sicherheitsupdate bereit. Für Koji Plugin, Self-Organizing Swarm Plug-in Modules Plugin und Twitter Plugin stehen zum jetzigen Zeitpunkt keine Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2019-10307 CVE-2019-10308

Schwachstellen in Static Analysis Utilities Plugin ermöglichen u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2019-10309

Schwachstelle in Self-Organizing Swarm Plug-in Modules Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2019-10310 CVE-2019-10311

Schwachstellen in Ansible Tower Plugin Plugin ermöglichen u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2019-10312

Schwachstelle in Ansible Tower Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10313

Schwachstelle in Twitter Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10314

Schwachstelle in Koji Plugin ermöglicht das Umgehen von Sicherheitsvorkehrungen

CVE-2019-10315

Schwachstelle in GitHub Authentication Plugin ermöglicht das Erlangen von Benutzerrechten

CVE-2019-10316

Schwachstelle in Aqua MicroScanner Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10317

Schwachstelle in SiteMonitor Plugin ermöglicht das Umgehen von Sicherheitsvorkehrungen

CVE-2019-10318

Schwachstelle in Azure AD Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.