DFN-CERT-2023-0184 Jenkins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

DFN-CERT-2023-0184 Jenkins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (25.01.23):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Administratorrechte zu erlangen, Informationen auszuspähen,
Sicherheitsvorkehrungen zu umgehen, verschiedene XML-External-Entity (XXE)-,
Server-Side-Request-Forgery (SSRF)-, Cross-Site-Request-Forgery (CSRF)-
sowie Path-Traversal-Angriffe durchzuführen und falsche Informationen
darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal
ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Azure
AD Plugin 306.va_7083923fd50, Bitbucket OAuth Plugin 0.13, Gerrit Trigger
Plugin 2.38.1, Kubernetes Credentials Provider Plugin 1.209.v862c6e5fb_1ef,
OpenId Connect Authentication Plugin 2.5, Orka by MacStadium Plugin 1.32,
Script Security Plugin 1229.v4880b_b_e905a_6 sowie Semantic Versioning
Plugin 1.15.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung:
BearyChat Plugin, Cisco Spark Notifier Plugin, GitHub Pull Request Builder
Plugin, GitHub Pull Request Coverage Status Plugin, JIRA Pipeline Steps
Plugin, Keycloak Authentication Plugin, MSTest Plugin, OpenID Plugin, PWauth
Security Realm Plugin, RabbitMQ Consumer Plugin, TestComplete support
Plugin, TestQuality Updater Plugin, view-cloner Plugin und visualexpert
Plugin.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2023-0184]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben