Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (27.02.18):
Neues Advisory

Ein entfernter, in der Regel einfach authentifizierter Angreifer kann
mehrere Schwachstellen in den Plugins Azure Slave, Coverity, CppNCSS,
Environment Injector, Gerrit Trigger, Git, Google Play Android Publisher,
Job and Node Ownership, Mercurial, Promoted Builds, Subversion und TestLink
ausnutzen, um sensitive Informationen auszuspähen, Konfigurationen zu
manipulieren, Cross-Site-Scripting (XSS)-Angriffe oder eine
Privilegieneskalation durchzuführen.

Es stehen die Versionen Coverity 1.11.0, CppNCSS 1.2, Environment Injector
1.91, Gerrit Trigger 2.27.5, Git 3.8.0, Google Play Android Publisher 1.7,
Job and Node Ownership 0.12.0, Mercurial 2.3, Promoted Builds 3.0,
Subversion 2.10.3 und TestLink 3.13 als Sicherheitsupdates für die einzelnen
Plugins zur Verfügung.

Für das Azure Slave Plugin steht kein Sicherheitsupdate zur Verfügung, da
das Plugin seit 2016 als ‘deprecated’ angesehen wird. Alternativ kann das
Azure VM Agents Plugin verwendet werden, das die veraltete und durch
CVE-2015-5262 verwundbare Bibliothek ‘httpclient’ nicht enthält. Die
Behebung der Schwachstelle im Environment Injector Plugin erfordert
zusätzliche Schritte, falls das Plugin in der Vergangenheit in einer Version
vor 1.91 (veröffentlicht im März 2015) eingesetzt wurde. Diese manuellen
Schritte werden im referenzierten Sicherheitshinweis des Herstellers näher
ausgeführt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0389]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html