DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1987: Jenkins: Zwei Schwachstellen ermöglichen u.a. Manipulation von Dateien

Historie

Version 1 (2017-11-09 15:18)
Neues Advisory

Betroffene Software

Jenkins < 2.73.3 LTS
Jenkins < 2.89

Betroffene Plattformen

macOS
GNU/Linux
Microsoft Windows

Lösung

Patch

Jenkins Security Advisory 2017-11-08

Beschreibung

Eine Schwachstelle in Jenkins ermöglicht aufgrund fehlender Prüfung von Nutzereingaben einem entfernten, nicht authentisierten Angreifer unter anderem die Manipulation von Konfigurationsdateien der Jenkins-Installation. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer mit bestimmten Berechtigungen das Ausführen eines Cross-Site Scripting (XSS) Angriffs.

Jenkins veröffentlicht die Jenkins weekly Version 2.89 sowie die Jenkins LTS Version 2.73.3 für Windows, macOS und Linux als Sicherheitsupdate zur Behebung der Schwachstellen.

Schwachstellen

SECURITY-641: Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

Die unvollständige Maskierung von HTML-Metasymbolen wie '<' und '>' ermöglicht über manche Textfelder mit automatischer Vervollständigung einen Cross-Site Scripting (XSS) Angriff auf Benutzer von Jenkins. Ein entfernter, einfach authentisierter Angreifer, der die Quellen solcher Vervollständigungsvorschläge manipulieren kann, kann dadurch einen Cross-Site-Scripting-Angriff ausführen.

SECURITY-499: Schwachstelle in Jenkins ermöglicht u.a. Manipulation von Dateien

Jenkins verwendet die Benutzer-ID von Benutzerkonten als Namen für einen entsprechenden Ordner, der als Speicherort für benutzerspezifische Daten eingesetzt wird. Die Benutzer-ID wird vom Benutzer selbst angegeben. Eine fehlende Plausibilitätsprüfung der Benutzer-ID kann zu unerwünschtem Verhalten führen. Beispielsweise können Jenkins Konfigurationsdateien gelöscht werden, indem die angegebene Benutzer-ID dem relativen Pfad zu der entsprechenden Datei gleichgesetzt wird. Ein nicht authentisierter Angreifer kann Dateien in einer Jenkins Installation manipulieren oder löschen, wenn er die Möglichkeit hat, ein Jenkins Benutzerkonto zu erstellen. Ist die Erstellung des Kontos auch aus der Fferne möglich, gilt dies auch für das Angriffsszenario.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.