Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (16.04.18):
Neues Advisory

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem
entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen
wie der Pre-Login Session ID (Google Login Plugin) und des SMTP-Passworts
(Email Extension Plugin) sowie weiterer Informationen durch Phishing-
Angriffe (ebenfalls Google Login Plugin). Ein entfernter, einfach
authentifizierter Angreifer kann einen Cross-Site-Scripting (XSS)-Angriff
durchführen (S3 Publisher Plugin) und Dateien außerhalb des
Buildverzeichnisses manipulieren (HTML Publisher Plugin).

Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in
unterschiedlichen Plugins und den zur Behebung zur Verfügung stehenden
Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die Versionen
Email Extension Plugin 2.62, Google Login Plugin 1.3.1, HTML Publisher
Plugin 1.16 und S3 Publisher Plugin 0.11.0 aktualisieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0715]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html