Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (18.11.2015):
Die Jenkins Schwachstelle SECURITY-218 hat die ID CVE-2015-8103 zugewiesen
bekommen.
Version 1 (16.11.2015):
Neues Advisory
Betroffene Software:
Jenkins <= 1.625.1 Jenkins <= 1.637 Betroffene Plattformen: Red Hat Fedora 22 Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen oder beliebigen Programmcode auszuführen. Für Fedora 22 werden ein Backport-Sicherheitsupdate in Form des Paketes jenkins-1.609.3-3.fc22 und ein Sicherheitsupdate in Form des Paketes jenkins-remoting-2.53-1.fc22 im Status 'testing' zur Verfügung gestellt. Patch: Jenkins Security Advisory 2015-11-11 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11
Patch:
Fedora Security Update FEDORA-2015-a433d8ba72 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-a433d8ba72
CVE-2015-8103: Schwachstelle in Jenkins remoting ermöglicht Ausführen
beliebigen Programmcodes
Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird. Die Commons Collections Java Bibliothek ist
Bestandteil von vielen Produkten, die dementsprechend verwundbar sind. Dazu
zählt auch Jenkins.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.
CVE-2015-5325: Schwachstelle in Jenkins ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in Jenkins besteht, da JNLP-Slaves nicht der
slave-to-master-Zugriffskontrolle unterworfen sind. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.
CVE-2015-5320: Schwachstelle in Jenkins ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in Jenkins basiert auf dem Fehler, dass der geheime
Schlüssel nicht überprüft wird bei der Verbindung eines Slaves. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen, indem er sein System mit Jenkins verbindet und dafür lediglich den
Namen des Slaves wissen muss. Dadurch kann der Angreifer in der Folge
Jenkins übernehmen, falls das slave-to-master-Sicherheitssystem nicht
eingeschaltet ist, oder Zugriff auf private Daten wie Schlüssel oder
Quellcode erhalten.
CVE-2015-5318: Schwachstelle in Jenkins ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in Jenkins basiert auf der Verwendung öffentlicher Werte
für den CSRF (Cross-Site-Request-Forgery)-Schutzmechanismus. Ein entfernter,
nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen, indem
er ein korrektes Token erzeugt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1768/
Jenkins Security Advisory 2015-11-11:
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11
Schwachstelle CVE-2015-5318 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5318
Schwachstelle CVE-2015-5320 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5320
Schwachstelle CVE-2015-5325 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5325
Fedora Security Update FEDORA-2015-a433d8ba72 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-a433d8ba72
Schwachstelle CVE-2015-8103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8103
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
