Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Jenkins
Betroffene Plattformen:
GNU/Linux
Ein entfernter, nicht authentifizierter Angreifer kann zwei Schwachstellen
in den Plugins TAP vor Version 1.25 und Image Gallery vor Version 1.4
ausnutzen, um beliebige Dateien des Dateisystems auszulesen. Eine weitere
Schwachstelle im Build Failure Analyzer Plugin vor Version 1.16.0 ermöglicht
dem Angreifer einen Cross-Site-Scripting-Angriff (XSS). Darüber hinaus kann
der Angreifer zwei Schwachstellen im Async HTTP Client Plugin vor Version
1.7.24.1 zur Umgehung von Sicherheitsvorkehrungen ausnutzen.
Jenkins informiert über die Schwachstellen in den verschiedenen Plugins und
stellt die entsprechenden Sicherheitsupdates zur Verfügung.
Patch:
Jenkins Security Advisory 2016-06-20
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-06-20
CVE-2016-4988: Schwachstelle in Jenkins Build Failure Analyzer Plugin
ermöglicht Cross-Site-Scripting-Angriff
Das Build Failure Analyzer Plugin in Jenkins maskiert einen
Eingangsparameter nicht, der auf einer HTML-Seite wiedergegeben wird. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch einen
reflektierten Cross-Site-Scripting-Angriff (XSS) durchführen. Diese
Schwachstelle wird intern mit ‘SECURITY-290’ bezeichnet.
CVE-2016-4987: Schwachstelle in Jenkins Image Gallery Plugin ermöglicht
Ausspähen von Informationen
Das Image Gallery Plugin in Jenkins prüft Benutzereingaben in einigen
Formularfeldern nicht. Ein entfernter, nicht authentifizierter Angreifer
kann dadurch die Inhalte beliebiger Verzeichnisse auslesen und Lesezugriff
auf beliebige Dateien des Dateisystems erhalten. Diese Schwachstelle wird
intern mit ‘SECURITY-278’ bezeichnet.
CVE-2016-4986: Schwachstelle in Jenkins TAP Plugin ermöglicht Ausspähen von
Informationen
Das Plugin zur Unterstützung des Test Anything Protocols (TAP) in Jenkins
prüft einen bestimmten Eingangsparameter nicht. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch Lesezugriff auf beliebige Dateien
des Dateisystems erhalten. Diese Schwachstelle wird intern mit ‘SECURITY-85’
bezeichnet.
CVE-2013-7398: Schwachstelle in Async-Http-Client ermöglicht Umgehen von
Sicherheitsmaßnahmen
Eine Schwachstelle im Async-Http-Client führt dazu, dass nicht überprüft
wird, ob der Hostname mit dem Domainnamen im Common Name (CN) oder
subjectAltName des vorgelegten X509 Zertifikates übereinstimmt. Dies
ermöglicht es, mit einem für alle Domainnamen gültigem Zertifikat, einen SSL
Server vorzutäuschen. Ein entfernter, nicht authentifizierter Angreifer kann
Sicherheitsmaßnahmen umgehen.
CVE-2013-7397: Schwachstelle in Async-Http-Client ermöglicht Umgehen von
Sicherheitsmaßnahmen
Eine Schwachstelle im Async-Http-Client führt dazu, dass die Überprüfung von
SSL/TSL Zertifikaten unter nicht näher beschriebenen Umständen deaktiviert
wird. Ein entfernter, nicht authentifizierter Angreifer kann durch
präparierte Zertifikate Sicherheitsmaßnahmen umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1034/
Schwachstelle CVE-2013-7397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7397
Schwachstelle CVE-2013-7398 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7398
Jenkins Security Advisory 2016-06-20:
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-06-20
Schwachstelle CVE-2016-4986 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4986
Schwachstelle CVE-2016-4987 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4987
Schwachstelle CVE-2016-4988 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4988
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
