DFN-CERT-2022-1665 Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

DFN-CERT-2022-1665 Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (28.07.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen
zu umgehen sowie Path-Traversal-, Cross-Site-Scripting (XSS)- und Cross-
Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Eine weitere
Schwachstelle kann lokal ausgenutzt werden, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers.

Für eine Ausnutzung der Schwachstellen CVE-2022-36899 (Compuware ISPW
Operations Plugin) und CVE-2022-36900 (Compuware zAdviser API Plugin) bedarf
es einer Jenkins-Version, die älter als 2.318 oder LTS 2.303.2 ist.

Der Hersteller informiert darüber, dass nicht für alle Schwachstellen
Sicherheitsupdates zur Verfügung gestellt werden. Die folgenden Plugin-
Versionen stehen als Sicherheitsupdates bereit:Compuware ISPW Operations
Plugin 1.0.9, Compuware Source Code Download for Endevor, PDS, and ISPW
Plugin 2.0.13, Compuware Topaz Utilities Plugin 1.0.9, Compuware Xpediter
Code Coverage Plugin 1.0.8, Compuware zAdviser API Plugin 1.0.4, Deployer
Framework Plugin 86.v7b_a_4a_55b_f3ec, External Monitor Job Type Plugin
192.ve979ca_8b_3ccd, Git client Plugin 3.11.1, Git Plugin 4.11.4, GitHub
Plugin 1.34.5, HashiCorp Vault Plugin 355.v3b_38d767a_b_a_8, Job
Configuration History Plugin 1156.v536a_97b_8d649, rhnpush-plugin 0.5.2 und
rpmsign-plugin 0.5.1.

Für die folgenden Plugins wurden bisher keine Sicherheitsupdates
bereitgestellt: Android Signing Plugin, Buckminster Plugin, CLIF Performance
Testing Plugin, Coverity Plugin, Dynamic Extended Choice Parameter Plugin,
Files Found Trigger Plugin, Google Cloud Backup Plugin, HTTP Request Plugin,
Lucene-Search Plugin, Maven Metadata Plugin for Jenkins CI server Plugin,
OpenShift Deployer Plugin, Openstack Heat Plugin und Repository Connector
Plugin.

Damit bleiben die beiden schwerwiegendsten Schwachstellen CVE-2022-36894
(CLIF Performance Testing Plugin) und CVE-2022-36922 (Lucene-Search Plugin)
vorerst ohne Patch.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-1665]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben