Sicherheitslücken in Jenkins: Dringende Updates erforderlich

Die jüngste Version der Open-Source-Software Jenkins schließt mehrere Sicherheitslücken ab. Entwickler stufen diese Schwachstellen größtenteils als hochriskant ein.



Jenkins: Ein vielseitiges Tool für die Software-Entwicklung


Jenkins ist ein webbasiertes Software-Entwicklungs-Tool. Es bietet zahlreiche Plug-ins und automatisiert wiederkehrende Aufgaben, ebenso wie den Build-Prozess von Software. Dabei ermöglicht es das Zusammenfassen von Funktionen mit APIs & Bibliotheken.



Hochriskante Sicherheitslücken entdeckt


In einer Sicherheitsmitteilung berichten die Entwickler über Sicherheitslücken in insgesamt sieben Plug-ins. Sechs dieser Schwachstellen werden als hochriskant und eines als mittelriskant eingestuft.



Betroffene Plug-ins im Detail

Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins – dies sind die höchsten Risiken:



  • Umgehung von Sicherheitsmaßnahmen in Shared Library Version Override Plugin, CVE-2024-52554, Risiko: hoch
  • XXE-Schwachstelle in IvyTrigger Plugin, CVE-2022-46751, Risiko: hoch
  • Unzureichende Session-Invalidierung ermöglicht Admin-Zugang durch Social Engineering in OpenId Connect Authentication Plugin, CVE-2024-52553, Risiko: hoch
  • Cross-Site-Scripting-Lücke im Authorize Project Plugin, CVE-2024-52552, Risiko: hoch
  • Fehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Declarative Plugin, CVE-2024-52551, Risiko: hoch
  • Fehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Groovy Plugin, CVE-2024-52550, Risiko: hoch
  • Fehlende Rechteprüfung in Script Security Plugin, CVE-2024-52549, Risiko: mittel

## Verfügbare Updates zur Behebung von Schwachstellen

Die Projektbeteiligten empfehlen dringend die Aktualisierungen auf die neuesten Versionen:


  • Authorize Project Plugin: 1.8.0
  • IvyTrigger Plugin: 1.02
  • OpenId Connect Authentication Plugin: 4.421.v5422614eb_e0a
  • Pipeline: Declarative Plugin: 2.2218.v56d0cda_37c72
  • Pipeline: Groovy Plugin: 3993.v3e20a_37282f8
  • Script Security Plugin: 1368.vb_b_402e3547e7
  • Shared Library Version Override Plugin: 19.v3a_c975738d4a

Die Admins sollten schnell handeln und die Updates installieren um die Angriffsfläche zu minimieren.



Bedrohung durch Cyberkriminelle


Im August wurden Schwachstellen in Jenkins-Servern aktiv ausgenutzt. Die US-amerikanische Cybersicherheitsbehörde CISA hatte zuvor vor dieser Bedrohung gewarnt. Jenkins scheint für Online-Kriminelle ein attraktives Ziel zu sein. Daher ist es ratsam, dass IT-Verantwortliche ihre Jenkins-Instanzen unverzüglich auf den aktuellsten Stand bringen.






Kommentare


Anzeige