2020-0482: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-03-10 17:25)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Jenkins-Plugins ermöglichen einem entfernten Angreifer mit oder ohne Benutzerrechten das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Manipulation von Dateien, die Durchführung von Cross-Site-Scripting (XSS)-, XML-External-Entity- und Cross-Site-Request-Forgery (CSRF)-Angriffen. Zwei weitere Schwachstellen ermöglichen einem lokalen Angreifer mit üblichen Benutzerrechten das Ausspähen von Anmeldedaten.
Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen hierfür Script Security Plugin 1.71, Git Plugin 4.2.1, Timestamper Plugin 1.11.2, Cobertura Plugin 1.16, Audit Trail Plugin 3.3, P4 Plugin 1.10.11, Logstash Plugin 2.3.2, Rundeck Plugin 3.6.7, Zephyr Enterprise Test Management Plugin 1.10 und Mac Plugin 1.2.0.
Für Repository Connector Plugin, Sonar Quality Gates Plugin, Quality Gates Plugin, Subversion Release Manager Plugin, Backlog Plugin, Zephyr for JIRA Test Management Plugin, OpenShift Deployer Plugin, DeployHub Plugin, Skytap Cloud CI Plugin, Literate Plugin und CryptoMove Plugin stehen keine Sicherheitsupdates zur Verfügung.
Schwachstellen:
CVE-2020-2134
Schwachstelle in Script Security Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-2135
Schwachstelle in Script Security Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-2136
Schwachstelle in Git Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2137
Schwachstelle in Timestamper Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2138
Schwachstelle in Cobertura Plugin ermöglicht XML-External-Entity-AngriffCVE-2020-2139
Schwachstelle in Cobertura Plugin ermöglicht Manipulation von DateienCVE-2020-2140
Schwachstelle in Audit Trail Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2141 CVE-2020-2142
Schwachstellen in P4 Plugin ermöglichen Cross-Site-Request-Forgery-AngriffCVE-2020-2143
Schwachstelle in Logstash Plugin ermöglicht Ausspähen von InformationenCVE-2020-2144
Schwachstelle in Rundeck Plugin ermöglicht XML-External-Entity-AngriffCVE-2020-2145
Schwachstelle in Zephyr Enterprise Test Management Plugin ermöglicht Ausspähen von InformationenCVE-2020-2146
Schwachstelle in Mac Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-2147 CVE-2020-2148
Schwachstellen in Mac Plugin ermöglichen Cross-Site-Request-Forgery-AngriffCVE-2020-2149
Schwachstelle in Repository Connector Plugin ermöglicht Ausspähen von InformationenCVE-2020-2150
Schwachstelle in Sonar Quality Gates Plugin ermöglicht Ausspähen von InformationenCVE-2020-2151
Schwachstelle in Quality Gates Plugin ermöglicht Ausspähen von InformationenCVE-2020-2152
Schwachstelle in Subversion Release Manager Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2153
Schwachstelle in Backlog Plugin ermöglicht Ausspähen von InformationenCVE-2020-2154
Schwachstelle in Zephyr for JIRA Test Management Plugin ermöglicht Ausspähen von InformationenCVE-2020-2155
Schwachstelle in OpenShift Deployer Plugin ermöglicht Ausspähen von InformationenCVE-2020-2156
Schwachstelle in DeployHub Plugin ermöglicht Ausspähen von InformationenCVE-2020-2157
Schwachstelle in Skytap Cloud CI Plugin ermöglicht Ausspähen von InformationenCVE-2020-2158
Schwachstelle in Literate Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-2159
Schwachstelle in CryptoMove Plugin ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.