Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Sicherheitslecks in Entwicklerwerkzeug Jenkins gestopft

Im Open-Source Developer-Tool Jenkins wurden mehrere Sicherheitslücken entdeckt. Die Entwickler schließen die Schwachstellen mit aktualisierter Software. IT-Verantwortliche sollten die Updates zügig anwenden.

Anzeige

In der Sicherheitsmitteilung listen die Jenkins-Entwickler drei verwundbare Add-ons auf. Am schwersten wiegt die Schwachstelle im Simple Queue Plug-in. Es versieht Namen von Views nicht mit Escape. Das mündet in einer Stored-Cross-Site-Scripting-Lücke, die Angreifer mit "View/Create"-Rechten missbrauchen können (CVE-2024-54003, CVSS 8.0, Risiko "hoch"). Den Fehler korrigieren die Plug-in-Version 1.4.5 sowie neuere.

Die mitgelieferte json-lib-Bibliothek weist eine Denial-of-Service-Lücke auf. Die in Jenkins LTS 2.479.1 sowie 2.486 und älteren gebündelten Versionen von org.kohsuke.stapler:json-lib sind von dem Leck betroffen, erörtern die Entwickler. Angreifer mit der Berechtigung "Overall/Read" können dadurch die Threads zum Behandeln von HTTP-Anfragen dauerhaft beschäftigen, was Systemressourcen verbraucht und andere davon abhält, Jenkins zu nutzen. Einige Plug-ins ermöglichen solche Angriffe sogar ohne "Overall/Read"-Berechtigung (CVE-2024-47855, CVSS 7.5, hoch). Jenkins LTS 2.479.2 und 2.487 und neuere haben eine korrigierte Version von org.kohsuke.stapler:json-lib dabei.

Schließlich klafft im Filesystem List Parameter Plugin eine Path-Traversal-Schwachstelle. Angreifer mit "Item/Configure"-Rechten können dadurch Dateien vom Dateisystem des Jenkins-Controllers auflisten (CVE-2024-54004, CVSS 4.3, mittel). Die Plug-in-Version 0.0.15 korrigiert den Fehler.

Vor rund zwei Wochen haben die Jenkins-Entwickler sogar sieben Sicherheitslücken geschlossen. Von denen galten die meisten als hochriskant. Da etwa im August dieses Jahres Angriffe auf Jenkins-Server beobachtet wurden, sollten Admins nicht zögern, sondern zeitnah die bereitstehenden Aktualisierungen anwenden.

Anzeige

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

BSI warnt vor unseriösen Anbietern beim Black Frid...
Uganda: Cyberkriminelle stehlen der Zentralbank 16...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 14. Dezember 2024

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image