2019-1469: Red Hat OpenShift, Jenkins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery (CSRF)-Angriffe

Historie:

Version 1 (2019-07-18 16:25)

Neues Advisory

Version 2 (2019-08-15 19:43)

Für OpenShift Container Platform 3.11 steht ein Sicherheitsupdate für die 'jenkins'-Pakete zur Behebung der Schwachstellen bereit. Die Dokumentation für Red Hat OpenShift Container Platform 3.11 wird in Kürze betreffs des Releases 3.11.135 aktualisiert.

Version 3 (2019-08-29 16:36)

Für OpenShift Container Platform 4.1 steht ein Sicherheitsupdate für die 'jenkins'-Pakete zur Behebung der Schwachstellen bereit. Die Dokumentation für Red Hat OpenShift Container Platform 4.1 wird in Kürze betreffs des Releases 4.1.11 aktualisiert.

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Jenkins ermöglichen einem entfernten, einfach authentifizierten Angreifer die Manipulation von Dateien und das Ausspähen sensibler Informationen. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Request-Forgery (CSRF)-Angriffen.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen Jenkins 2.186 und Jenkins LTS 2.176.2 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2019-10352

Schwachstelle in Jenkins ermöglicht Manipulation von Dateien

CVE-2019-10353

Schwachstelle in Jenkins ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10354

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.