2019-1578: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Request-Forgery-Angriff
Historie:
- Version 1 (2019-08-02 17:51)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in den Jenkins-Plugins Configuration as Code Plugin, Maven Integration Plugin, Google Kubernetes Engine Plugin und Skytap Cloud CI Plugin ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen. Ein Schwachstelle im Configuration as Code Plugin erlaubt in einem Fall zusätzlich die Manipulation von Daten. Weitere Schwachstellen in dem Plugin ermöglichen einem lokalen, nicht oder einfach authentisierten Angreifer ebenfalls das Ausspähen von Informationen.
Im Maven Release Plug-in Plugin existiert eine Cross-Site-Request-Forgery (CSRF)-Schwachstelle, die von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden kann. Ein Cross-Site-Scripting (XSS)-Angriff ist einem entfernten, einfach authentisierten Angreifer möglich und ein lokaler, nicht authentisierter Angreifer kann Informationen ausspähen.
Eine Schwachstelle im Amazon EC2 Plugin ermöglicht das Ausspähen von Informationen ebenfalls einem lokalen, nicht authentisierten Angreifer.
Zwei Schwachstellen im Script Security Plugin können von einem entfernten, einfach authentisierten Angreifer für das Umgehen von Sicherheitsvorkehrungen ausgenutzt werden, in der Folge ermöglicht dies das Ausführen beliebigen Programmcodes. Im Pipeline: Shared Groovy Libraries Plugin existiert eine Schwachstelle, die einem entfernten, einfach authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen erlaubt und in der Folge das Ausspähen von Informationen.
Als Sicherheitsupdates stehen die folgenden Plugin-Versionen bereit:
Amazon EC2 Plugin 1.44, Configuration as Code Plugin 1.25,Google Kubernetes Engine Plugin 0.6.3, Maven Integration Plugin 3.4, Maven Release Plug-in Plugin 0.15.0, Pipeline: Shared Groovy Libraries Plugin 2.15, Script Security Plugin 1.62 und Skytap Cloud CI Plugin 2.07.
Schwachstellen:
CVE-2019-10343
Schwachstelle in Configuration as Code Plugin ermöglicht Ausspähen von InformationenCVE-2019-10344
Schwachstelle in Configuration as Code Plugin ermöglicht Ausspähen von InformationenCVE-2019-10345
Schwachstelle in Configuration as Code Plugin ermöglicht Ausspähen von InformationenCVE-2019-10355
Schwachstelle in Script Security Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-10356
Schwachstelle in Script Security Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-10357
Schwachstelle in Pipeline: Shared Groovy Libraries Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-10358
Schwachstelle in Maven Integration Plugin ermöglicht Ausspähen von InformationenCVE-2019-10359
Schwachstelle in Maven Release Plug-in Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2019-10360
Schwachstelle in Maven Release Plug-in Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2019-10361
Schwachstelle in Maven Release Plug-in Plugin ermöglicht Ausspähen von InformationenCVE-2019-10362
Schwachstelle in Configuration as Code Plugin ermöglicht Ausspähen und Manipulieren von DatenCVE-2019-10363
Schwachstelle in Configuration as Code Plugin ermöglicht Ausspähen von InformationenCVE-2019-10364
Schwachstelle in Amazon EC2 Plugin ermöglicht Ausspähen von InformationenCVE-2019-10365
Schwachstelle in Google Kubernetes Engine Plugin ermöglicht Ausspähen von InformationenCVE-2019-10366
Schwachstelle in Skytap Cloud CI Plugin ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.