Im Open-Source Developer-Tool Jenkins wurden mehrere Sicherheitslücken entdeckt. Die Entwickler schließen die Schwachstellen mit aktualisierter Software. IT-Verantwortliche sollten die Updates zügig anwenden.
Anzeige
In der Sicherheitsmitteilung listen die Jenkins-Entwickler drei verwundbare Add-ons auf. Am schwersten wiegt die Schwachstelle im Simple Queue Plug-in. Es versieht Namen von Views nicht mit Escape. Das mündet in einer Stored-Cross-Site-Scripting-Lücke, die Angreifer mit "View/Create"-Rechten missbrauchen können (CVE-2024-54003, CVSS 8.0, Risiko "hoch"). Den Fehler korrigieren die Plug-in-Version 1.4.5 sowie neuere.
Die mitgelieferte json-lib-Bibliothek weist eine Denial-of-Service-Lücke auf. Die in Jenkins LTS 2.479.1 sowie 2.486 und älteren gebündelten Versionen von org.kohsuke.stapler:json-lib sind von dem Leck betroffen, erörtern die Entwickler. Angreifer mit der Berechtigung "Overall/Read" können dadurch die Threads zum Behandeln von HTTP-Anfragen dauerhaft beschäftigen, was Systemressourcen verbraucht und andere davon abhält, Jenkins zu nutzen. Einige Plug-ins ermöglichen solche Angriffe sogar ohne "Overall/Read"-Berechtigung (CVE-2024-47855, CVSS 7.5, hoch). Jenkins LTS 2.479.2 und 2.487 und neuere haben eine korrigierte Version von org.kohsuke.stapler:json-lib dabei.
Schließlich klafft im Filesystem List Parameter Plugin eine Path-Traversal-Schwachstelle. Angreifer mit "Item/Configure"-Rechten können dadurch Dateien vom Dateisystem des Jenkins-Controllers auflisten (CVE-2024-54004, CVSS 4.3, mittel). Die Plug-in-Version 0.0.15 korrigiert den Fehler.
Vor rund zwei Wochen haben die Jenkins-Entwickler sogar sieben Sicherheitslücken geschlossen. Von denen galten die meisten als hochriskant. Da etwa im August dieses Jahres Angriffe auf Jenkins-Server beobachtet wurden, sollten Admins nicht zögern, sondern zeitnah die bereitstehenden Aktualisierungen anwenden.
Anzeige
(
Kommentare