DFN-CERT

Advisory-Archiv

2019-2463: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-11-22 13:19)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen es einem entfernten, meist einfach authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen, Dateien zu manipulieren, je einen Man-in-the-Middle (MitM)- und Cross-Site-Request-Forgery (CSRF)-Angriff durchzuführen und Informationen auszuspähen.

Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen Anchore Container Image Scanner Plugin 1.0.20, Google Compute Engine Plugin 4.2.0, JIRA Plugin 3.0.11, QMetry for JIRA - Test Management Plugin 1.13 (die Schwachstelle CVE-2019-16545 wird hiermit anscheinend nicht behoben), Script Security Plugin 1.68, Spira Importer Plugin 3.2.3 und Support Core Plugin 2.64.

Schwachstellen:

CVE-2019-16538

Schwachstelle in Script Security Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-16539

Schwachstelle in Support Core Plugin ermöglicht Manipulation von Dateien

CVE-2019-16540

Schwachstelle in Support Core Plugin ermöglicht Manipulation von Dateien

CVE-2019-16541

Schwachstelle in Jira Plugin ermöglicht Ausspähen von Informationen

CVE-2019-16542

Schwachstelle in Anchore Container Image Scanner Plugin ermöglicht Ausspähen von Informationen

CVE-2019-16543

Schwachstelle in Spira Importer Plugin ermöglicht Ausspähen von Informationen

CVE-2019-16544

Schwachstelle in QMetry for JIRA - Test Management Plugin ermöglicht Ausspähen von Informationen

CVE-2019-16545

Schwachstelle in QMetry for JIRA - Test Management Plugin ermöglicht Ausspähen von Informationen

CVE-2019-16546

Schwachstelle in Google Compute Engine Plugin ermöglicht Man-in-the-Middle-Angriff

CVE-2019-16547

Schwachstelle in Google Compute Engine Plugin ermöglicht Ausspähen von Informationen

CVE-2019-16548

Schwachstelle in Google Compute Engine Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.