Die jüngste Version der Open-Source-Software Jenkins schließt mehrere Sicherheitslücken ab. Entwickler stufen diese Schwachstellen größtenteils als hochriskant ein.
Jenkins: Ein vielseitiges Tool für die Software-Entwicklung
Jenkins ist ein webbasiertes Software-Entwicklungs-Tool. Es bietet zahlreiche Plug-ins und automatisiert wiederkehrende Aufgaben, ebenso wie den Build-Prozess von Software. Dabei ermöglicht es das Zusammenfassen von Funktionen mit APIs & Bibliotheken.
Hochriskante Sicherheitslücken entdeckt
In einer Sicherheitsmitteilung berichten die Entwickler über Sicherheitslücken in insgesamt sieben Plug-ins. Sechs dieser Schwachstellen werden als hochriskant und eines als mittelriskant eingestuft.
Betroffene Plug-ins im Detail
Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins – dies sind die höchsten Risiken:
- Umgehung von Sicherheitsmaßnahmen in Shared Library Version Override Plugin, CVE-2024-52554, Risiko: hoch
- XXE-Schwachstelle in IvyTrigger Plugin, CVE-2022-46751, Risiko: hoch
- Unzureichende Session-Invalidierung ermöglicht Admin-Zugang durch Social Engineering in OpenId Connect Authentication Plugin, CVE-2024-52553, Risiko: hoch
- Cross-Site-Scripting-Lücke im Authorize Project Plugin, CVE-2024-52552, Risiko: hoch
- Fehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Declarative Plugin, CVE-2024-52551, Risiko: hoch
- Fehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Groovy Plugin, CVE-2024-52550, Risiko: hoch
- Fehlende Rechteprüfung in Script Security Plugin, CVE-2024-52549, Risiko: mittel
## Verfügbare Updates zur Behebung von Schwachstellen
Die Projektbeteiligten empfehlen dringend die Aktualisierungen auf die neuesten Versionen:
- Authorize Project Plugin: 1.8.0
- IvyTrigger Plugin: 1.02
- OpenId Connect Authentication Plugin: 4.421.v5422614eb_e0a
- Pipeline: Declarative Plugin: 2.2218.v56d0cda_37c72
- Pipeline: Groovy Plugin: 3993.v3e20a_37282f8
- Script Security Plugin: 1368.vb_b_402e3547e7
- Shared Library Version Override Plugin: 19.v3a_c975738d4a
Die Admins sollten schnell handeln und die Updates installieren um die Angriffsfläche zu minimieren.
Bedrohung durch Cyberkriminelle
Im August wurden Schwachstellen in Jenkins-Servern aktiv ausgenutzt. Die US-amerikanische Cybersicherheitsbehörde CISA hatte zuvor vor dieser Bedrohung gewarnt. Jenkins scheint für Online-Kriminelle ein attraktives Ziel zu sein. Daher ist es ratsam, dass IT-Verantwortliche ihre Jenkins-Instanzen unverzüglich auf den aktuellsten Stand bringen.
Kommentare