DFN-CERT-2022-0086 Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

DFN-CERT-2022-0086 Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (14.01.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen
zu umgehen, beliebigen Programmcode auszuführen sowie Cross-Site-Scripting
(XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. In
einem Fall muss sich ein Angreifer im benachbarten Netzwerk befinden, um
Informationen auszuspähen, und in zwei Fällen ist dies einem Angreifer lokal
möglich.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers.

Zur Behebung der aufgeführten Schwachstellen CVE-2022-20612 bis
CVE-2022-20621 und CVE-2022-23105 bis CVE-2022-23109 stehen die folgenden
Versionen zur Verfügung: Jenkins 2.330, Jenkins LTS 2.319.2, Mailer Plugin
408.vd726a_1130320, Matrix Project Plugin 1.20, Credentials Binding Plugin
1.27.1, Docker Commons Plugin 1.18, Bitbucket Branch Source Plugin
746.v350d2781c184, SSH Agent Plugin 1.23.2, Metrics Plugin 4.0.2.8.1, Active
Directory Plugin 2.25.1, Configuration as Code Plugin 1.55.1, Warnings Next
Generation Plugin 9.10.3, Badge Plugin 1.9.1 und HashiCorp Vault Plugin
3.8.0.

Ein Teil der referenzierten Schwachstellen (CVE-2022-23110 bis
CVE-2022-23118) ist zum jetzigen Zeitpunkt noch offen, da für die folgenden
Plugins derzeit keine Sicherheitsupdates zur Verfügung stehen: Publish Over
SSH Plugin (CVE-2022-23110 bis CVE-2022-23114), batch task Plugin
(CVE-2022-23115), Conjur Secrets Plugin (CVE-2022-23116, CVE-2022-23117) und
Debian Package Builder Plugin (CVE-2022-23118).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0086]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben