DFN-CERT

Advisory-Archiv

2024-0202: Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-01-25 17:19)
Neues Advisory
Version 2 (2024-08-20 13:44)
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2024-23897 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Für Jenkins liegen Sicherheitsupdates in Form der Versionen 2.442 und 2.426.3 LTS vor, um die betreffenden Sicherheitslücken zu schließen.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Git server Plugin Version 99.101.v720e86326c09, GitLab Branch Source Plugin Version 688.v5fa_356ee8520, Matrix Project Plugin Version 822.824.v14451b_c0fd42 und Qualys Policy Compliance Scanning Connector Plugin Version 1.0.6.

Für das Log Command Plugin steht kein Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2023-6147

Schwachstelle in Jenkins (Qualys Plugin) ermöglicht Manipulation von Dateien

CVE-2023-6148

Schwachstelle in Jenkins (Qualys Plugin) ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2024-23897

Schwachstelle in Jenkins ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23898

Schwachstelle in Jenkins ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2024-23899

Schwachstelle in Git-Server Plugin für Jenkins ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23900

Schwachstelle in Matrix Project Plugin für Jenkins ermöglicht Manipulation von Konfigurationsdateien

CVE-2024-23901

Schwachstelle in GitLab Branch Source Plugin für Jenkins ermöglicht u. a. Ausspähen von Informationen

CVE-2024-23902

Schwachstelle in GitLab Branch Source Plugin für Jenkin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2024-23903

Schwachstelle in GitLab Branch Source Plugin für Jenkins ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-23904

Schwachstelle in Log Command Plugin für Jenkins ermöglicht Ausspähen von Informationen

CVE-2024-23905

Schwachstelle in Red Hat Dependency Analytics Plugin für Jenkins ermöglicht Cross-Site-Scripting-Angriff

SECURITY-3007

Schwachstelle in Jenkins (Qualys Plugin) ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.