Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (13.02.20):
Neues Advisory

Mehrere Schwachstellen in Jenkins-Plugins ermöglichen einem entfernten,
meist einfach authentifizierten Angreifer das Ausführen beliebigen
Programmcodes, das Ausspähen von Informationen, die Durchführung von Cross-
Site-Scripting (XSS)- und XML-External-Entity-Angriffen sowie eines Cross-
Site-Request-Forgery (CSRF)-Angriffs.

Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung
ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen
hierfür Groovy Plugin 2.79, Script Security Plugin 1.70, Subversion Plugin
2.13.1, Git Parameter Plugin 0.9.12, S3 publisher Plugin 0.11.5, NUnit
Plugin 0.26, Pipeline GitHub Notify Step Plugin 1.0.5, Azure AD Plugin
1.2.0, FitNesse Plugin 1.31, Google Kubernetes Engine Plugin 0.8.1, Brakeman
Plugin 0.13 und RadarGun Plugin 1.8.

Für Applatix Plugin, BMC Release Package and Deployment Plugin, Debian
Package Builder Plugin, DigitalOcean Plugin, Dynamic Extended Choice
Parameter Plugin, Eagle Tester Plugin, ECX Copy Data Management Plugin,
Harvest SCM Plugin und Parasoft Environment Manager Plugin stehen keine
Sicherheitsupdates zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-0315]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html