DFN-CERT-2016-1386 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2016-1386 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Jenkins < 1.651.2 LTS Betroffene Plattformen: Red Hat OpenShift 2.2 Enterprise Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, Durchführen von Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffen, Umgehen von Sicherheitsvorkehrungen, Erlangen von Benutzerrechten, die Manipulation von Dateien sowie das Ausspähen von Informationen. Ein entfernter, einfach authentisierter Angreifer kann zudem falsche Informationen darstellen, Denial-of-Service (DoS)-Angriffe durchführen sowie ebenfalls Informationen ausspähen und beliebigen Programmcode ausführen. Red Hat stellt für Red Hat OpenShift Enterprise 2.2 ein Sicherheitsupdate für Jenkins auf die Version 1.651.2 LTS bereit. Patch: Red Hat Security Advisory RHSA-2016:1773 http://rhn.redhat.com/errata/RHSA-2016-1773.html

CVE-2016-3727: Schwachstelle in Jenkins ermöglicht Ausspähen von
Informationen

Über die URL ‘/computer/(master)/api/xml’ der API können Benutzer mit
erweiterten Leserechten für den Master-Knoten (Master Node) die globale
Konfiguration von Jenkins – und damit auch die sicherheitsrelevanten
Einstellungen – einsehen. Ein entfernter, einfach authentifizierter
Angreifer kann Informationen ausspähen. Diese Schwachstelle wird intern mit
‘SECURITY-281’ bezeichnet.

CVE-2016-3726: Schwachstelle in Jenkins ermöglicht Darstellung falscher
Informationen

Für einige URLs in Jenkins werden die Umleitungen nicht geprüft, so dass ein
entfernter, einfach authentifizierter Angreifer URLs erstellen kann, die auf
beliebige, über relative Pfade erreichbare, URLs umgeleitet werden (Open
Redirect). Diese Schwachstelle wird intern mit ‘SECURITY-276’ bezeichnet.

CVE-2016-3725: Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

Durch eine fehlende Berechtigungsprüfung kann jeder Benutzer von Jenkins ein
Update der Metadaten der Update-Seite von Jenkins auslösen. Ein entfernter,
einfach authentifizierter Angreifer kann in Verbindung mit einer
DNS-Temporärspeichervergiftung einen Denial-of-Service-Angriff ausführen.
Diese Schwachstelle wird intern mit ‘SECURITY-273’ bezeichnet.

CVE-2016-3724: Schwachstelle in Jenkins ermöglicht Ausspähen von
Informationen

Benutzer mit erweiterten Leserechten können auf verschlüsselte Geheimnisse
(z.B. Passworte) zugreifen, die in der Konfiguration der betroffenen
Einträge enthalten sind. Ein entfernter, einfach authentifizierter Angreifer
kann Informationen ausspähen. Diese Schwachstelle wird intern mit
‘SECURITY-266’ bezeichnet.

CVE-2016-3723: Schwachstelle in Jenkins ermöglicht Ausspähen von
Informationen

Die Endpunkte der XML/JSON API, die Informationen über installierte Plugins
zur Verfügung stellen, sind ohne Beschränkungen von außen erreichbar. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen.
Diese Schwachstelle wird intern mit ‘SECURITY-250’ bezeichnet.

CVE-2016-3722: Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

Beim Anmeldeversuch wird der Parameter ‘full name’ vor dem eigentlichen
Benutzernamen geprüft, um eine doppelte Anmeldung zu vermeiden. Der
Parameter ‘full name’ ist frei editierbar, so dass ein entfernter, einfach
authentifizierter Benutzer, der den ‘full name’ eines anderen Benutzers
kennt, diesen Benutzer am Zugang hindern kann (Denial-of-Service). Diese
Schwachstelle wird intern mit ‘SECURITY-243’ bezeichnet.

CVE-2016-3721: Schwachstelle in Jenkins ermöglicht Manipulation von Dateien

In Jenkins werden Build-Parameter üblicherweise als Umgebungsvariablen an
die Buildskripte übergeben. Einige Plugins ermöglichen die ungeprüfte
Übergabe solcher Parameter, durch die das Verhalten der dadurch erstellten
Builds beeinflusst werden kann (beispielsweise ‘PATH’). Ein entfernter,
nicht authentifizierter Angreifer kann die Erstellung von Builds mit
beliebigen Umgebungsvariablen auslösen und so Dateien manipulieren und
möglicherweise beliebigen Programmcode mit den Rechten des Dienstes
ausführen. Diese Schwachstelle wird intern mit ‘SECURITY-170’ bezeichnet.
Jenkins stellt eine Liste der betroffenen Plugins zur Verfügung, um über
deren Status zu informieren.

CVE-2016-0792: Schwachstelle in Jenkins ermöglicht Ausführen beliebigen
Programmcodes

In der Programmschnittstelle für Jenkins (remote API) existieren mehrere
Endpunkte, die einem entfernten, einfach authentisierten Angreifer
ermöglichen, über speziell präparierte HTTP-POST-Anfragen XML-Dateien zur
Verfügung zu stellen, die in der Folge deserialisiert werden. Darüber kann
beliebiger Programmcode ausgeführt werden.

CVE-2016-0791: Schwachstelle in Jenkins ermöglicht
Cross-Site-Request-Forgery-Angriff

Die Verifikation von Cross-Site-Request-Forgery-Krümeln (CSRF crumbs)
verwendet keinen Konstantzeit-Vergleichsalgorithmus (constant-time
comparison algorithm), so dass ein entfernter, nicht authentisierter
Angreifer durch einen Brute-Force-Angriff gültige CSRF crumbs erraten und in
der Folge einen Cross-Site-Request-Forgery-Angriff durchführen kann.

CVE-2016-0790: Schwachstelle in Jenkins ermöglicht Erlangen von
Benutzerrechten

Die Verifikation von Nutzereingaben zur Authentifikation verwendet keinen
Konstantzeit-Vergleichsalgorithmus (constant-time comparison algorithm), so
dass ein entfernter, nicht authentisierter Angreifer durch einen
Brute-Force-Angriff gültige Login Credentials erraten und somit
Benutzerrechte erlangen kann (SECURITY-241).

CVE-2016-0789: Schwachstelle in Jenkins ermöglicht
Cross-Site-Scripting-Angriff

Eine nicht näher beschriebene Schwachstelle in Jenkins erlaubt HTTP Response
Splitting (SECURITY-238). Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, indem er speziell präparierte Links an
einen Benutzer sendet, um einen Cross-Site-Scripting-Angriff gegen diesen
Benutzer durchzuführen.

CVE-2016-0788: Schwachstelle in Jenkins ermöglicht Ausführen beliebigen
Programmcodes

Im Remoting-Modul existiert eine Schwachstelle, aufgrund der ein
Java-Remote-Method-Protocol-Zugang (JRMP listener) zum Server, auf dem der
Jenkins Hauptprozess läuft, geöffnet werden kann (SECURITY-232). Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-7501: Schwachstelle in Apache Commons Collections ermöglicht
Ausführen beliebigen Programmcodes

Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird.

Die Commons Collections Java Bibliothek ist Bestandteil von vielen
Produkten, die dementsprechend verwundbar sind. Dazu zählen Jenkins, IBM
WebSphere, Oracle WebLogic und viele weitere.

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

CVE-2014-3577: Schwachstelle in Apache Commons HTTPClient ermöglicht Umgehen
von Sicherheitsvorkehrungen

Eine Schwachstelle im Apache Commons HTTPClient besteht darin, dass die
Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1386/

Schwachstelle CVE-2014-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3577

Schwachstelle CVE-2015-7501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7501

Schwachstelle CVE-2016-0788 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0788

Schwachstelle CVE-2016-0789 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0789

Schwachstelle CVE-2016-0790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0790

Schwachstelle CVE-2016-0791 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0791

Schwachstelle CVE-2016-0792 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0792

Schwachstelle CVE-2016-3721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3721

Schwachstelle CVE-2016-3722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3722

Schwachstelle CVE-2016-3723 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3723

Schwachstelle CVE-2016-3724 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3724

Schwachstelle CVE-2016-3725 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3725

Schwachstelle CVE-2016-3726 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3726

Schwachstelle CVE-2016-3727 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3727

Red Hat Security Advisory RHSA-2016:1773:
http://rhn.redhat.com/errata/RHSA-2016-1773.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben