DFN-CERT

Advisory-Archiv

2019-2218: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2019-10-24 17:58)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten oder teilweise lokalen, meist einfach authentifizierten Angreifer das Ausspähen von Informationen wie z. B. Anmeldedaten und die Durchführung von Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffen.

Jenkins informiert über die verschiedenen Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen Bitbucket OAuth Plugin 0.10, Dynatrace Application Monitoring Plugin 2.1.4 (behebt nur Schwachstellen CVE-2019-10461 und CVE-2019-10462), Mattermost Notification Plugin 2.7.1 und Zulip Plugin 1.1.1. Für 360 FireLine Plugin, Bitbucket OAuth Plugin, build-metrics Plugin, Deploy WebLogic Plugin, Dynatrace Application Monitoring Plugin (CVE-2019-10463), ElasticBox Jenkins Kubernetes CI/CD Plugin, Global Post Script Plugin, Libvirt Slaves Plugin, Mattermost Notification Plugin, Sonar Gerrit Plugin und Zulip Plugin stehen aktuell keine Sicherheitsupdates bereit.

Schwachstellen:

CVE-2019-10459

Schwachstelle in Mattermost Notification Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10460

Schwachstelle in Bitbucket OAuth Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10461

Schwachstelle in Dynatrace Application Monitoring Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10462

Schwachstelle in Dynatrace Application Monitoring Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10463

Schwachstelle in Dynatrace Application Monitoring Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10464

Schwachstelle in Deploy WebLogic Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10465

Schwachstelle in Deploy WebLogic Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10466

Schwachstelle in 360 FireLine Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2019-10467

Schwachstelle in Sonar Gerrit Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10468

Schwachstelle in ElasticBox Jenkins Kubernetes CI/CD Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10469

Schwachstelle in ElasticBox Jenkins Kubernetes CI/CD Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10470

Schwachstelle in ElasticBox Jenkins Kubernetes CI/CD Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10471

Schwachstelle in Libvirt Slaves Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10472

Schwachstelle in Libvirt Slaves Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10473

Schwachstelle in Libvirt Slaves Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10474

Schwachstelle in Global Post Script Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10475

Schwachstelle in build-metrics Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10476

Schwachstelle in Zulip Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.