UPDATE: DFN-CERT-2016-0770 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2016-0770 Jenkins: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (07.06.2016):
Für Red Hat OpenShift Enterprise 3.2 steht ein Sicherheitsupdate für
Jenkins bereit.
Version 2 (18.05.2016):
Für Fedora 22, 23 und 24 stehen (Backport-)Sicherheitsupdates in Form der
Pakete jenkins-1.609.3-7.fc22, jenkins-1.625.3-4.fc23, bzw.
jenkins-1.651.2-1.fc24 im Status ‘testing’ bereit.
Version 1 (12.05.2016):
Neues Advisory

Betroffene Software:

Jenkins <= 1.651.1 LTS Jenkins <= 2.2 Betroffene Plattformen: Red Hat OpenShift 3.2 Enterprise GNU/Linux Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Eine Schwachstelle in Jenkins ermöglicht einem entfernten, nicht authentifizierten Angreifer, Informationen über die in Jenkins installierten Plugins auszuspähen. Ein entfernter, einfach authentifizierter Angreifer kann mehrere weitere Schwachstellen ausnutzen, um weitere, auch sensitive, Informationen auszuspähen, anderen Benutzern den Zugang zu Jenkins zu verwehren oder einen Denial-of-Service-Angriff auf Jenkins selbst auszuführen, falsche Informationen darstellen und beliebige Umgebungsvariablen in Builds einschleusen, die bestimmte Plugins verwenden (SECURITY-170). Jenkins stellt eine Liste der so verwundbaren Plugins zur Verfügung. Zur Behebung der Schwachstellen stellt Jenkins die Versionen 2.3 und 1.651.2 (LTS) zur Verfügung. Patch: Jenkins Security Advisory 2016-05-11 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11

Patch:

Fedora Security Update FEDORA-2016-9ba53cf8a2 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9ba53cf8a2

Patch:

Fedora Security Update FEDORA-2016-f7e7a6067d (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-f7e7a6067d

Patch:

Fedora Security Update FEDORA-2016-fd6100dd68 (Fedora 24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-fd6100dd68

Patch:

Red Hat Security Advisory RHSA-2016:1206

https://access.redhat.com/errata/RHSA-2016:1206

CVE-2016-3727: Schwachstelle in Jenkins ermöglicht Ausspähen von
Informationen

Über die URL ‘/computer/(master)/api/xml’ der API können Benutzer mit
erweiterten Leserechten für den Master-Knoten (Master Node) die globale
Konfiguration von Jenkins – und damit auch die sicherheitsrelevanten
Einstellungen – einsehen. Ein entfernter, einfach authentifizierter
Angreifer kann Informationen ausspähen. Diese Schwachstelle wird intern mit
‘SECURITY-281’ bezeichnet.

CVE-2016-3726: Schwachstelle in Jenkins ermöglicht Darstellung falscher
Informationen

Für einige URLs in Jenkins werden die Umleitungen nicht geprüft, so dass ein
entfernter, einfach authentifizierter Angreifer URLs erstellen kann, die auf
beliebige, über relative Pfade erreichbare, URLs umgeleitet werden (Open
Redirect). Diese Schwachstelle wird intern mit ‘SECURITY-276’ bezeichnet.

CVE-2016-3725: Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

Durch eine fehlende Berechtigungsprüfung kann jeder Benutzer von Jenkins ein
Update der Metadaten der Update-Seite von Jenkins auslösen. Ein entfernter,
einfach authentifizierter Angreifer kann in Verbindung mit einer
DNS-Temporärspeichervergiftung einen Denial-of-Service-Angriff ausführen.
Diese Schwachstelle wird intern mit ‘SECURITY-273’ bezeichnet.

CVE-2016-3724: Schwachstelle in Jenkins ermöglicht Ausspähen von
Informationen

Benutzer mit erweiterten Leserechten können auf verschlüsselte Geheimnisse
(z.B. Passworte) zugreifen, die in der Konfiguration der betroffenen
Einträge enthalten sind. Ein entfernter, einfach authentifizierter Angreifer
kann Informationen ausspähen. Diese Schwachstelle wird intern mit
‘SECURITY-266’ bezeichnet.

CVE-2016-3723: Schwachstelle in Jenkins ermöglicht Ausspähen von
Informationen

Die Endpunkte der XML/JSON API, die Informationen über installierte Plugins
zur Verfügung stellen, sind ohne Beschränkungen von außen erreichbar. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen.
Diese Schwachstelle wird intern mit ‘SECURITY-250’ bezeichnet.

CVE-2016-3722: Schwachstelle in Jenkins ermöglicht Denial-of-Service-Angriff

Beim Anmeldeversuch wird der Parameter ‘full name’ vor dem eigentlichen
Benutzernamen geprüft, um eine doppelte Anmeldung zu vermeiden. Der
Parameter ‘full name’ ist frei editierbar, so dass ein entfernter, einfach
authentifizierter Benutzer, der den ‘full name’ eines anderen Benutzers
kennt, diesen Benutzer am Zugang hindern kann (Denial-of-Service). Diese
Schwachstelle wird intern mit ‘SECURITY-243’ bezeichnet.

CVE-2016-3721: Schwachstelle in Jenkins ermöglicht Manipulation von Dateien

In Jenkins werden Build-Parameter üblicherweise als Umgebungsvariablen an
die Buildskripte übergeben. Einige Plugins ermöglichen die ungeprüfte
Übergabe solcher Parameter, durch die das Verhalten der dadurch erstellten
Builds beeinflusst werden kann (beispielsweise ‘PATH’). Ein entfernter,
nicht authentifizierter Angreifer kann die Erstellung von Builds mit
beliebigen Umgebungsvariablen auslösen und so Dateien manipulieren und
möglicherweise beliebigen Programmcode mit den Rechten des Dienstes
ausführen. Diese Schwachstelle wird intern mit ‘SECURITY-170’ bezeichnet.
Jenkins stellt eine Liste der betroffenen Plugins zur Verfügung, um über
deren Status zu informieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0770/

Jenkins Security Advisory 2016-05-11:
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11

Plugins affected by fix for SECURITY-170:
https://wiki.jenkins-ci.org/display/JENKINS/Plugins+affected+by+fix+for+SECURITY-170

Schwachstelle CVE-2016-3721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3721

Schwachstelle CVE-2016-3722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3722

Schwachstelle CVE-2016-3723 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3723

Schwachstelle CVE-2016-3724 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3724

Schwachstelle CVE-2016-3725 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3725

Schwachstelle CVE-2016-3726 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3726

Schwachstelle CVE-2016-3727 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3727

Fedora Security Update FEDORA-2016-9ba53cf8a2 (Fedora 23) :
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9ba53cf8a2

Fedora Security Update FEDORA-2016-f7e7a6067d (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f7e7a6067d

Fedora Security Update FEDORA-2016-fd6100dd68 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-fd6100dd68

Red Hat Security Advisory RHSA-2016:1206:
https://access.redhat.com/errata/RHSA-2016:1206

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben