Schwachstellen mit hohem Sicherheitsrisiko in Jenkins-Plugins

Es gibt Sicherheitsupdates für diverse Jenkins-Plugins. Keine Lücke gilt als kritisch.

In Pocket speichern vorlesen Druckansicht
Schwachstellen mit hohem Sicherheitsrisiko in Jenkins-Plugins
Lesezeit: 1 Min.

Mehrere Plugins für das Software-System Jenkins sind verwundbar. Jenkins ist ein Automation Server, mit dem man verschiedene Aufgaben beim Erstellen und Testen von Software automatisieren kann. Insgesamt sind zwölf Plugins betroffen. Diese, und die jeweils abgesicherten Versionen, listen die Jenkins-Entwickler in einer Sicherheitswarnung auf.

Für das Azure Slave Plugin gibt es kein Sicherheitsupdate, da es seit 2016 keinen Support mehr erfährt. Als Alternative kann man Azure VM Agents verwenden. Unter gewissen Umständen genügt es nicht, die abgesicherte Ausgabe von Environment Injector Plugin zu installieren, um die Lücke zu schließen. Weitere Infos dazu finden sich in der Sicherheitswarnung.

Das Angriffsrisiko stufen die Entwickler mit "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das anders und bewertet das Risiko mit "hoch". Attacken sollen aus der Ferne möglich sein. Dafür muss ein Angreifer aber authentifiziert sein.

Nach einem erfolgreichen Überriff sollen sich Angreifer unter anderem höhere Rechte aneignen und Konfigurationen manipulieren können. (des)