2020-0207: Jenkins: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2020-01-30 16:07): Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Durchführung eines Denial-of-Service (DoS)-Angriffs. Weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Durchführung eines Cross-Site-Scripting (XSS)- und eines XML-External-Entity (XXE)-Angriffs.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen Jenkins Weekly 2.219, Jenkins LTS 2.204.2, Code Coverage API Plugin 1.1.3 und Fortify Plugin 19.2.30 zur Behebung der Schwachstellen bereit. Das WebSphere Deployer Plugin sollte deaktiviert werden, da hierfür bisher kein Sicherheitsupdate bereitgestellt wurde.

Schwachstellen:

CVE-2020-2099

Schwachstelle in Jenkins ermöglicht Umgehen von Sicherheitsvorkehrungen