2019-1653: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-08-08 18:12)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, meist einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von sensiblen Informationen wie z. B. Anmeldedaten, die Darstellung falscher Informationen und die Durchführung verschiedener Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe.

Jenkins informiert über die verschiedenen Schwachstellen und stellt Jenkins Code Plugin Version 1.27 und JClouds Plugin Version 2.15 als Sicherheitsupdates zur Behebung der betreffenden Schwachstellen bereit. Für Avatar Plugin, Build Pipeline Plugin, Codefresh Integration Plugin, eggPlant Plugin, File System SCM Plugin, Google Cloud Messaging Notification Plugin, Gitlab Authentication Plugin, Mask Passwords Plugin, PegDown Formatter Plugin, Relution Enterprise Appstore Publisher Plugin, Simple Travis Pipeline Runner Plugin, TestLink Plugin, VMware Lab Manager Slaves Plugin, Wall Display Master Project Plugin und XL TestView Plugin stehen keine Fixes zur Verfügung.

Schwachstellen:

CVE-2019-10367

Schwachstelle in Code Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10368 CVE-2019-10369

Schwachstellen in JClouds Plugin ermöglichen u. a. Ausspähen von Informationen

CVE-2019-10370

Schwachstelle in Mask Passwords Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10371

Schwachstelle in Gitlab Authentication Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10372

Schwachstelle in Gitlab Authentication Plugin ermöglicht Darstellen falscher Informationen

CVE-2019-10373

Schwachstelle in Build Pipeline Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10374

Schwachstelle in PegDown Formatter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10375

Schwachstelle in File System SCM Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10376

Schwachstelle in Wall Display Master Project Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10377

Schwachstelle in Avatar Plugin ermöglicht Darstellen falscher Informationen

CVE-2019-10378

Schwachstelle in TestLink Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10379

Schwachstelle in gcm-notification Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10380

Schwachstelle in simple-travis-runner Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10381 CVE-2019-10382

Schwachstellen in Codefresh Integration Plugin / VMware Lab Manager Slaves Plugin ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2019-10385

Schwachstelle in eggPlant Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10386 CVE-2019-10387

Schwachstellen in xltestview-plugin Plugin ermöglichen u. a. Ausspähen von Informationen

CVE-2019-10388 CVE-2019-10389

Schwachstellen in Relution Enterprise Appstore Publisher Plugin ermöglichen u. a. Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.