2019-2667: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe und das Ausspähen von Informationen
Historie:
- Version 1 (2019-12-18 19:04)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen es einem entfernten, meist einfach authentisierten Angreifer Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen und Informationen auszuspähen. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer mit Zugriff auf das Dateisystem Informationen auszuspähen.
Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen Build Failure Analyzer Plugin 1.24.2, Gerrit Trigger Plugin 2.30.2, Maven Release Plug-in Plugin 0.16.2, Pipeline Aggregator View Plugin 1.9, Redgate SQL Change Automation Plugin 2.0.4, Rundeck Plugin 3.6.6 und Spira Importer Plugin 3.2.4. Für Alauda DevOps Pipeline Plugin, Alauda Kubernetes Suport Plugin, buildgraph-view Plugin, Mantis Plugin, Mission Control Plugin, RapidDeploy Plugin, SCTMExecutor Plugin, Team Concert Plugin, WebSphere Deployer Plugin und Weibo Plugin stehen aktuell keine Sicherheitsupdates bereit.
Schwachstellen:
CVE-2019-16549 CVE-2019-16550
Schwachstellen in Maven Release Plug-In Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16551 CVE-2019-16552
Schwachstellen in Gerrit Trigger Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16553 CVE-2019-16554 CVE-2019-16555
Schwachstellen in Build Failure Analyzer Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16556
Schwachstelle in Rundeck Plugin ermöglicht Ausspähen von InformationenCVE-2019-16557
Schwachstelle in Redgate SQL Change Automation Plugin ermöglicht Ausspähen von InformationenCVE-2019-16558
Schwachstelle in Spira Importer Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-16559 CVE-2019-16560
Schwachstellen in WebSphere Deployer Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16561
Schwachstelle in WebSphere Deployer Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-16562
Schwachstelle in buildgraph-view Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2019-16563
Schwachstelle in Mission Control Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2019-16564
Schwachstelle in Pipeline Aggregator View Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2019-16565 CVE-2019-16566
Schwachstellen in Team Concert Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16567
Schwachstelle in Team Concert Plugin ermöglicht Ausspähen von InformationenCVE-2019-16568
Schwachstelle in SCTMExecutor Plugin ermöglicht Ausspähen von InformationenCVE-2019-16569
Schwachstelle in Mantis Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2019-16570 CVE-2019-16571
Schwachstellen in RapidDeploy Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16572
Schwachstelle in Weibo Plugin ermöglicht Ausspähen von InformationenCVE-2019-16573 CVE-2019-16574
Schwachstellen in Alauda DevOps Pipeline Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2019-16575 CVE-2019-16576
Schwachstellen in Alauda Kubernetes Suport Plugin ermöglichen u. a. Cross-Site-Request-Forgery-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.