Kurzinfo CB-K18/0362

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Datum: 27.02.2018
Software: Jenkins
Plattform: Apple macOS, GNU/Linux, Microsoft Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch
Bezug: Jenkins Security Advisory 2018-02-26
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Jenkins ist ein erweiterbares, webbasiertes System zur kontinuierlichen Integration.

Ein entfernter, in der Regel einfach authentifizierter Angreifer kann mehrere Schwachstellen in den Plugins Azure Slave, Coverity, CppNCSS, Environment Injector, Gerrit Trigger, Git, Google Play Android Publisher, Job and Node Ownership, Mercurial, Promoted Builds, Subversion und TestLink ausnutzen, um sensitive Informationen auszuspähen, Konfigurationen zu manipulieren, Cross-Site-Scripting (XSS)-Angriffe oder eine Privilegieneskalation durchzuführen. Es stehen die Versionen Coverity 1.11.0, CppNCSS 1.2, Environment Injector 1.91, Gerrit Trigger 2.27.5, Git 3.8.0, Google Play Android Publisher 1.7, Job and Node Ownership 0.12.0, Mercurial 2.3, Promoted Builds 3.0, Subversion 2.10.3 und TestLink 3.13 als Sicherheitsupdates für die einzelnen Plugins zur Verfügung. Für das Azure Slave Plugin steht kein Sicherheitsupdate zur Verfügung, da das Plugin seit 2016 als 'deprecated' angesehen wird. Alternativ kann das Azure VM Agents Plugin verwendet werden, das die veraltete und durch CVE-2015-5262 verwundbare Bibliothek 'httpclient' nicht enthält. Die Behebung der Schwachstelle im Environment Injector Plugin erfordert zusätzliche Schritte, falls das Plugin in der Vergangenheit in einer Version vor 1.91 (veröffentlicht im März 2015) eingesetzt wurde. Diese manuellen Schritte werden im referenzierten Sicherheitshinweis des Herstellers näher ausgeführt.

  1. Schwachstelle CVE-2015-5262 (NVD)

  2. Jenkins Security Advisory 2018-02-26

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.