DFN-CERT-2017-0727 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Apple][Windows]

DFN-CERT-2017-0727 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Jenkins < 2.46.2 Jenkins < 2.57 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows Eine kritische Schwachstelle in Jenkins ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes über die integrierte Kommandozeile (CLI) von Jenkins. Mehrere weitere Schwachstellen ermöglichen einem Benutzer der Anwendung mit bestimmten Privilegien als entferntem, einfach authentisierten Angreifer die Durchführung verschiedener Cross-Site-Request-Forgery (CSRF)-Angriffe und in der Folge die Eskalation seiner Privilegien, das Erlangen beliebiger Benutzerrechte und die Imitation dieser Benutzer sowie einen Denial-of-Service (DoS)-Angriff auf den Java-Prozess des Systems. Der Hersteller informiert über die Schwachstellen und stellt die Versionen Jenkins 2.57 (Main Line) und 2.46.2 (LTS) als Sicherheitsupdates bereit. Die kritische Schwachstelle CVE-2017-1000353 basiert auf dem seit Version 2.54 überholten Remoting-basierten CLI-Protokoll. Benutzern der Anwendung wird dringend empfohlen, das Update durchzuführen und das CLI-Protokoll auf den neuen Standard (HTTP-basiert) zu ändern oder SSH zu verwenden. Das neue HTTP-Protokoll steht mit Version 2.46.2 nun auch im LTS-Versionszweig zur Verfügung. Patch: Jenkins Security Advisory 2017-04-26 https://jenkins.io/security/advisory/2017-04-26/

CVE-2017-1000356: Schwachstellen in Jenkins ermöglichen
Cross-Site-Request-Forgery-Angriffe

Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, einfach
authentisierten Angreifer die Durchführung von Cross-Site-Request-Forgery
(CSRF)-Angriffen, indem er den Benutzer der Anwendung zum Aufruf einer
speziell präparierten Webseite verleitet. Die Schwachstellen mit den
Bezeichnungen SECURITY-412 bis SECURITY-420 werden als CVE-2017-1000356
gesammelt veröffentlicht und ermöglichen dem Angreifer bei erfolgreicher
Ausnutzung die Durchführung verschiedener administrativer Aufgaben, also
effektiv eine Eskalation seiner Privilegien.

CVE-2017-1000355: Schwachstelle in Jenkins ermöglicht
Denial-of-Service-Angriff

Jenkins verwendet die XStream-Bibliothek zur Serialisierung und
Deserialisierung von XML-Daten. Ein entfernter, einfach authentisierter
Angreifer kann eine Schwachstelle in dieser Bibliothek ausnutzen, um den
Java-Prozess zum Absturz zu bringen. Der Angreifer braucht dafür
Berechtigungen, die ihm erlauben, XML-Daten an Jenkins zu übergeben. Dazu
gehören beispielsweise die Berechtigungen, Items (Jobs), Views oder Agents
zu erstellen oder zu konfigurieren. Die interne Bezeichung der Schwachstelle
ist SECURITY-503.

CVE-2017-1000354: Schwachstelle in Jenkins ermöglicht Erlangen von
Benutzerrechten

Der Kommandozeilenbefehl ‘login’ in der Remoting-basierten
Kommandozeilenumgebung von Jenkins speichert den verschlüsselten
Benutzernamen eines erfolgreich angemeldeten Benutzers in einer lokalen
Datei und verwendet diese als Autorisierungsbeweis für folgende
Befehlseingaben. Ein entfernter, einfach authentisierter Angreifer mit der
Berechtigung, Geheimnisse in Jenkins zu erstellen und deren verschlüsselte
Werte herunterzuladen (beispielsweise mit der Berechtigung ‘Job/Configure’)
kann die Schwachstelle ausnutzen, um andere Benutzer derselben
Jenkins-Instanz zu imitieren und deren Rechte zu erlangen. Die interne
Bezeichung der Schwachstelle ist SECURITY-466.

CVE-2017-1000353: Schwachstelle in Jenkins ermöglicht Ausführung beliebigen
Programmcodes

In Jenkins kann ein blacklistbasierter Schutzmechanismus umgangen werden,
indem ein serialisiertes ‘SignedObject’ (Java) an die aus der Ferne
erreichbare Kommandozeile von Jenkins transferiert wird, wo es durch einen
neuen ‘ObjectInputStream’ deserialisiert wird. Ein entfernter, nicht
authentisierter Angreifer kann dadurch beliebigen Programmcode ausführen, da
‘SignedObject’ nicht auf der Blacklist ist und der Transfermechanismus
Remoting-basiert ist. Die interne Bezeichung der Schwachstelle ist
SECURITY-429.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0727/

Jenkins Security Advisory 2017-04-26 :
https://jenkins.io/security/advisory/2017-04-26/

Jenkins Blog: New, safer CLI in 2.54:
https://jenkins.io/blog/2017/04/11/new-cli/

Schwachstelle CVE-2017-1000353 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000353

Schwachstelle CVE-2017-1000354 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000354

Schwachstelle CVE-2017-1000355 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000355

Schwachstelle CVE-2017-1000356 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000356

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben