Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (30.03.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen
zu umgehen sowie Cross-Site-Request-Forgery (CSRF)-, XML-External-Entity
(XXE)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Zudem kann ein
Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers.

Zur Behebung der aufgeführten Schwachstellen CVE-2022-28133 bis
CVE-2022-28148 stehen die folgenden Versionen zur Verfügung: Bitbucket
Server Integration Plugin 3.2.0, Continuous Integration with Toad Edge
Plugin 2.4, Flaky Test Handler Plugin 1.2.2, instant-messaging Plugin 1.42,
JiraTestResultReporter Plugin 166.v0cc6208295b5, Proxmox Plugin 0.7.1 und
RocketChat Notifier Plugin 1.5.0.

Für die Behebung der referenzierten Schwachstellen CVE-2022-28149 bis
CVE-2022-28160 stehen zum aktuellen Zeitpunkt noch keine Sicherheitsupdates
bereit. Damit sind die folgenden Plugins über die aufgeführten
Schwachstellen angreifbar: SiteMonitor Plugin, Tests Selector Plugin, Job
and Node ownership Plugin, Pipeline: Phoenix AutoTest Plugin und
Coverage/Complexity Scatter Plot Plugin.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0709]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html