Kurzinfo CB-K17/1737

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Jenkins: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 16.10.2017
Software: Jenkins < 2.73.2 LTS, Jenkins < 2.84
Plattform: Apple Mac OS X, macOS Sierra, GNU/Linux, Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
Bezug: Jenkins Security Advisory 2017-10-11
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Jenkins ist ein erweiterbares, webbasiertes System zur kontinuierlichen Integration.

Mehrere Schwachstellen in Jenkins sowie darin verwendeten Plugins ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes und beliebiger Shell-Befehle, die Durchführung eines Denial-of-Service (DoS)-Angriffs, das Ausspähen von Informationen sowie die Durchführung verschiedener Man-in-the-Middle (MitM)-Angriffe. Der Hersteller informiert über die Schwachstellen und stellt die Versionen Jenkins 2.84 (Main Line) und 2.73.2 (LTS) sowie das Maven-Plugin in der Version 3.0 und das Swarm-Plugin in der Version 3.5 als Sicherheitsupdates bereit. Für die Schwachstelle in dem Speaks!-Plugin (SECURITY-623) ist derzeit kein Sicherheitsupdate erhältlich.

  1. Jenkins Security Advisory 2017-10-11

  2. Jenkins Blog 2017/10/11 - Important security updates for Jenkins core and plugins

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.