Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (02.09.20):
Neues Advisory

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem
meist entfernten Angreifer, der in den meisten Fällen über übliche
Benutzerrechte verfügt, das Durchführen verschiedener Cross-Site-Request-
Forgery (CSRF)-, Cross-Site-Scripting (XSS)- und XML-eXternal-Entity
(XXE)-Angriffe, das Eskalieren von Privilegien und das Ausspähen von
Informationen. Einige Angriffe erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt als
Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur
Verfügung stehen hierfür Build Failure Analyzer Plugin 1.27.1, Cadence
vManager Plugin 3.0.5, database Plugin 1.7, Git Parameter Plugin 0.9.13,
Parameterized Remote Trigger Plugin 3.1.4 und SoapUI Pro Functional Testing
Plugin 1.4.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine
Sicherheitsupdates zur Behebung der Schwachstellen CVE-2020-2246,
CVE-2020-2247, CVE-2020-2248, CVE-2020-2249 und CVE-2020-2251 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1902]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html