DFN-CERT-2015-1761 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

DFN-CERT-2015-1761 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (15.05.23):
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2015-5317 in ihren ‘Known Exploited Vulnerabilities
Catalog’ aufgenommen, da diese aktiv ausgenutzt wird.
Version 3 (30.11.15):
Für die Distribution Fedora 22 steht ein Backport-Sicherheitsupdate in
Form des Paketes jenkins-1.609.3-4.fc22 im Status ‘testing’ bereit, das
die Schwachstellen CVE-2015-5317 (SECURITY-153), CVE-2015-5319
(SECURITY-173), CVE-2015-5321 (SECURITY-192), CVE-2015-5322
(SECURITY-195), CVE-2015-5323 (SECURITY-200), CVE-2015-5324
(SECURITY-186), CVE-2015-5326 (SECURITY-214) adressiert.
Version 2 (18.11.15):
Die Jenkins Schwachstelle SECURITY-218 hat die ID CVE-2015-8103 zugewiesen
bekommen.
Version 1 (13.11.15):
Neues Advisory

Mehrere Schwachstellen in Jenkins ermöglichen einem entfernten, nicht
authentifizierten Angreifer Informationen auszuspähen,
Sicherheitsvorkehrungen zu umgehen oder beliebigen Programmcode auszuführen.
Ein entfernter, authentifizierter Angreifer kann Cross-Site-Scripting-
Angriffe durchführen, ebenfalls Informationen ausspähen oder Skripte mit den
Rechten anderer Benutzer ausführen.

Betroffen sind die Haupt-Versionen bis einschließlich 1.637 und die Long-
Time-Support (LTS)-Versionen bis inklusive 1.625.1. Der Hersteller stellt
die fehlerbereinigten Versionen 1.638 (Main) und 1.625.2 (LTS) zum Download
zur Verfügung.

Für die Distribution Fedora 23 stehen Sicherheitsupdates in Form der Pakete
jenkins-1.625.2-2.fc23 und jenkins-remoting-2.53-1.fc23 im Status ‘testing’
bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2015-1761]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben