2019-2179: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-10-23 11:35)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten und teilweise lokalen, meist einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes, die Durchführung von Cross-Site-Request-Forgery (CSRF)-Angriffen, das Ausspähen von sensiblen Informationen wie z. B. Anmeldedaten und das Umgehen von Sicherheitsvorkehrungen.

Jenkins informiert über die verschiedenen Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen Bumblebee HP ALM Plugin 4.1.4, Cadence vManager Plugin 2.7.1, CRX Content Package Deployer Plugin 1.9, Google Kubernetes Engine Plugin 0.7.1, Google OAuth Credentials Plugin 0.10, iceScrum Plugin 1.1.6 und NeoLoad Plugin 2.2.6. Für Delphix Plugin, ElasticBox CI Plugin, Extensive Testing Plugin, Fortify on Demand Plugin, Oracle Cloud Infrastructure Compute Classic Plugin, Puppet Enterprise Pipeline Plugin, Rundeck Plugin, SOASTA CloudTest Plugin, Sofy.AI Plugin und View26 Test-Reporting Plugin stehen aktuell keine Sicherheitsupdates bereit.

Schwachstellen:

CVE-2019-10436

Schwachstelle in Google OAuth Credentials Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10437 CVE-2019-10438

Schwachstellen in CRX Content Package Deployer Plugin ermöglichen u. a. Cross-Site-Request-Forgery-Angriff

CVE-2019-10439

Schwachstelle in CRX Content Package Deployer Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10440

Schwachstelle in NeoLoad Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10441 CVE-2019-10442

Schwachstellen in iceScrum Plugin ermöglichen u. a. Ausspähen von Informationen

CVE-2019-10443

Schwachstelle in iceScrum Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10444

Schwachstelle in Bumblebee HP ALM Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10445

Schwachstelle in Google Kubernetes Engine Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10446

Schwachstelle in Cadence vManager Plugin ermöglicht Umgehung von Sicherheitsvorkehrungen

CVE-2019-10447

Schwachstelle in Sofy.AI Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10448

Schwachstelle in Extensive Testing Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10449

Schwachstelle in Fortify on Demand Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10450

Schwachstelle in ElasticBox CI Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10451

Schwachstelle in SOASTA CloudTest Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10452

Schwachstelle in View26 Test-Reporting Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10453

Schwachstelle in Delphix Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10454 CVE-2019-10455

Schwachstellen in Rundeck Plugin u. a. Ausspähen von Informationen

CVE-2019-10456 CVE-2019-10457

Schwachstellen in Oracle Cloud Infrastructure Compute Classic Plugin ermöglichen u. a. Ausspähen von Informationen

CVE-2019-10458

Schwachstelle in Puppet Enterprise Pipeline Plugin ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.