2022-0322: Jenkins: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2022-02-09 16:18)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Jenkins informiert über die Schwachstelle CVE-2021-43859 in der eingebundenen Bibliothek XStream und veröffentlicht Sicherheitsupdates, die XStream aktualisieren. Gleichzeitig werden für eigene Sammlungskonverter entsprechende Schutzmechanismen vor Denial-of-Service (DoS)-Angriffen umgesetzt. Da das neue Verhalten bei komplexen Konfigurationen zu falsch positiven DoS-Detektionen führen kann, kann es durch eine Konfigurationsoption deaktiviert werden.

Als Sicherheitsupdates stehen Jenkins 2.334 und Jenkins LTS 2.319.3 zur Verfügung.

Schwachstellen:

CVE-2021-43859

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2022-0538

Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.