2020-0624: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-03-26 15:58)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten Angreifer mit meist üblichen Benutzerrechten einen Cross-Site-Request-Forgery (CSRF)-Angriff, mehrere Cross-Site-Scripting (XSS)-Angriffe, das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen und einen XML-External-Entity (XXE)-Angriff.
Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf Jenkins 2.228, LTS 2.204.6 und LTS 2.222.1 und auf die neuesten Versionen der Plugins. Zur Verfügung stehen hierfür Artifactory Plugin 3.6.1, Pipeline: AWS Steps Plugin 1.41, OpenShift Pipeline Plugin 1.0.57, Azure Container Service Plugin 1.0.2, Queue cleanup Plugin 1.4 und RapidDeploy Plugin 4.2.1.
Schwachstellen:
CVE-2020-2160
Schwachstelle in Jenkins ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2020-2161
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2162
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2163
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2164
Schwachstelle in Artifactory Plugin ermöglicht Ausspähen von InformationenCVE-2020-2165
Schwachstelle in Artifactory Plugin ermöglicht Ausspähen von InformationenCVE-2020-2166
Schwachstelle in Pipeline: AWS Steps Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-2167
Schwachstelle in OpenShift Pipeline Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-2168
Schwachstelle in Azure Container Service Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-2169
Schwachstelle in Queue cleanup Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2170
Schwachstelle in RapidDeploy Plugin ermöglicht Cross-SIte-Scripting-AngriffCVE-2020-2171
Schwachstelle in RapidDeploy Plugin ermöglicht XML-External-Entity-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.