2021-0389: Jenkins: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten

Historie:

Version 1 (2021-02-22 11:53)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle aus der Ferne ausnutzen, um Privilegien zu eskalieren.

Jenkins informiert über die Schwachstelle in Spring Security vor Version 5.4.4, welche Jenkins ab Version 2.266 betrifft. Als Sicherheitsupdate steht Jenkins Version 2.280 zur Verfügung.

Der Hersteller weist darauf hin, dass für die Versionen 2.275 bis 2.278 eine Folge von Operationen bekannt ist, durch die Benutzer mit der Berechtigung Job/Workspace ihre Privilegien auf die des internen Benutzers SYSTEM mit allen Privilegien erweitern können.

Schwachstellen:

CVE-2021-22112

Schwachstelle in Spring Security ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.