DFN-CERT-2018-1221 Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Dateien

DFN-CERT-2018-1221 Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Dateien

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (26.06.18):
Neues Advisory

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem
entfernten, einfach authentifizierten Angreifer u.a. die Ausführung von
Server-Side-Request-Forgery (SSRF)-, Cross-Site-Request-Forgery (CSRF)- und
Cross-Site-Scripting (XSS)-Angriffen (GitHub, SSH Credentials, OpenStack
Cloud, Badge und URLTrigger) und das Ausspähen von Informationen (AWS
CodeBuild, AWS CodePipeline, AWS CodeDeploy, IBM z/OS Connector,
Configuration as Code). Mehrere weitere Schwachstellen ermöglichen dem
Angreifer auch ohne Authentisierung die Manipulation beliebiger Dateien, das
Erlangen von Benutzerrechten und das Umgehen von Sicherheitsvorkehrungen
(Fortify CloudScan, SAML, CollabNet).

Das Jenkins-Projekt veröffentlicht Informationen zu den Schwachstellen in
unterschiedlichen Plugins und den zur Behebung zur Verfügung stehenden
Sicherheitsupdates. Benutzer der einzelnen Plugins sollten auf die folgenden
Versionen aktualisieren: AWS CodeBuild 0.27, AWS CodeDeploy 1.20, AWS
CodePipeline 0.37, Badge 1.5, CollabNet Plugins 2.0.5, Configuration as Code
0.8-alpha, Fortify CloudScan 1.5.2, GitHub 1.29.2, IBM z/OS Connector 2.0.0,
Openstack Cloud 2.36, SAML 1.0.7, SSH Credentials 1.14 und URLTrigger 0.42.

Die Behebung der Schwachstelle CVE-2018-1000601 im SSH Credentials Plugin
erfordert ein Update von Blue Ocean auf Version 1.5.1 oder 1.6.1, da
andernfalls die Erstellung von Git-Pipelines nach dem Update nicht mehr
funktioniert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1221]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben