🕵️ Script Security Plugin bis 1.18.0 auf Jenkins Groovy Sandbox erweiterte Rechte

🕛 Zeit seit Veröffentlichung: 2957 Tage, 19 Stunden 25 Minuten
📆 Veröffentlicht am: 09.02.2017 um 01:00 Uhr
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Eine kritische Schwachstelle wurde in Script Security Plugin bis 1.18.0 auf Jenkins ausgemacht. Betroffen davon ist eine unbekannte Funktion der Komponente Groovy Sandbox. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 09.02.2017 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2016-3102 statt. Der Angriff kann über das Netzwerk passieren. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 92206 (Fedora 24 : jenkins / jenkins-credentials-plugin / jenkins-junit-plugin / etc (2016-f3b40fcbc3)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.

Ein Upgrade auf die Version 1.18.1 vermag dieses Problem zu beheben.

Die Einträge 96757 sind sehr ähnlich.

CVSSv3

Base Score: ≈6.3
Temp Score: ≈6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Medium

CVSSv2

Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P)
Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Medium

CPE

• cpe:/a:script_security_plugin:script_security_plugin:1.18.0

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Nessus ID: 92206
Nessus Name: Fedora 24 : jenkins / jenkins-credentials-plugin / jenkins-junit-plugin / etc (2016-f3b40fcbc3)
Nessus File: fedora_2016-f3b40fcbc3.nasl
Nessus Family: Fedora Local Security Checks
OpenVAS ID: 855812
OpenVAS Name: Fedora Update for jenkins-script-security-plugin FEDORA-2016-f3b40fcbc3
OpenVAS File: gb_fedora_2016_f3b40fcbc3_jenkins-script-security-plugin_fc24.nasl
OpenVAS Family: Fedora Local Security Checks

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Script Security Plugin 1.18.1

Timeline

09.02.2017 Advisory veröffentlicht
09.02.2017 VulDB Eintrag erstellt
09.02.2017 VulDB letzte Aktualisierung

Quellen

CVE: CVE-2016-3102 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 96757

Eintrag

Erstellt: 09.02.2017
Eintrag: 72.4% komplett
...