DFN-CERT

Advisory-Archiv

2020-0104: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2020-01-16 17:42)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, meist einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Benutzerrechten, verschiedene Cross-Site-Request-Forgery (CSRF)-Angriffe, einen Cross-Site-Scripting (XSS)- und einen XML eXternal Entity (XXE)-Angriff, das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen.

Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen hierfür Amazon EC2 Plugin 1.48, Health Advisor by CloudBees Plugin 3.0.1, Redgate SQL Change Automation Plugin 2.0.5 und Robot Framework Plugin 2.0.1.

Das Gitlab Hook Plugin und das Sounds Plugin sollten unverzüglich deaktiviert werden, da hierfür bisher keine Sicherheitsupdates bereitgestellt wurden.

Schwachstellen:

CVE-2020-2090

Schwachstelle in Amazon EC2 Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2091

Schwachstelle in Amazon EC2 Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2092

Schwachstelle in Robot Framework Plugin ermöglicht XXE-Angriff

CVE-2020-2093

Schwachstelle in Health Advisor by CloudBees Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2094

Schwachstelle in Health Advisor by CloudBees Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2095

Schwachstelle in Redgate SQL Change Automation Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2096

Schwachstelle in Gitlab Hook Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2097

Schwachstelle in Sounds Plugin ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-2098

Schwachstelle in Sounds Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.