Die aktualisierte Version der Open-Source-Software Jenkins dichtet mehrere Sicherheitslücken ab. Diese stufen die Entwickler zum Großteil als hochriskant ein.
Anzeige
Jenkins ist ein webbasiertes Software-Entwicklungs-Tool mit zahlreichen Plug-ins, das wiederkehrende Aufgaben wie den Build-Prozess von Software automatisiert und dabei das Zusammenfassen von Funktionen mit APIs und Bibliotheken erlaubt.
In einer Sicherheitsmitteilung schreiben die Jenkins-Entwickler, dass Sicherheitslücken in insgesamt sieben Plug-ins entdeckt wurden. Davon ordnen sie sechs als hohes und eines als mittleres Risiko ein.
Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins:
Umgehung von Sicherheitsmaßnahmen in Shared Library Version Override Plugin, CVE-2024-52554, Risiko "hoch"XXE-Schwachstelle in IvyTrigger Plugin, CVE-2022-46751, hochUnzureichende Session-Invalidierung ermöglicht Admin-Zugang mit Social Engineering in OpenId Connect Authentication Plugin, CVE-2024-52553, hochCross-Site-Scripting-Lücke in Authorize Project Plugin, CVE-2024-52552, hochFehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Declarative Plugin, CVE-2024-52551, hochFehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Groovy Plugin, CVE-2024-52550, hochFehlende Rechteprüfng in Script Security Plugin, CVE-2024-52549, mittelDie Projektbeteiligten schreiben, dass die Updates auf die Versionen
Anzeige
die Schwachstellen ausbessern. Admins sollten die Aktualisierungen zeitnah anwenden, um die Angriffsfläche zu minimieren.
Im August haben Cyberkriminelle Schwachstellen in Jenkins-Servern aktiv angegriffen. Davor hatte die US-amerikanische Cybersicherheitsbehörde CISA gewarnt. Da Jenkins für Online-Kriminelle offenbar ein interessantes Ziel ist, sollten IT-Verantwortliche ihre Jenkins-Instanzen zügig auf den aktuellen Stand bringen.