Alert!

Softwareentwicklung: Schadcode-Attacken auf Automation-Server Jenkins möglich

Angreifer könnten Jenkins-Instanzen über mehrere Sicherheitslücken attackieren. Dagegen abgesicherte Versionen stehen zum Download bereit.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 1 Min.

Entwickler, die das Open-Source-Automationswerkzeug Jenkins bei der Softwareerstellung einsetzen, sollten es zügig auf den aktuellen Stand bringen. In aktuellen Ausgaben und in verschiedenen Plug-ins hat das Jenkins-Team 20 Sicherheitslücken geschlossen.

In einer Warnmeldung steht, dass vier Lücken (CVE-2022-34176, CVE-2022-34177, CVE-2022-34178, CVE-2022-34182) mit dem Bedrohungsgrad „hoch“ eingestuft sind. Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie beispielsweise dauerhaft Schadcode auf Systemen platzieren (Stored XSS). Geschieht so etwas auf einem Webserver, wird der Code bei jedem Besuch der Website ausgeliefert und ausgeführt. Außerdem könnten Angreifer noch Dateien überschreiben.

Die verbleibenden Schwachstellen sind mit den Einstufungen „mittel“ und „niedrig“ versehen. Hier könnten Angreifer beispielsweise auf unverschlüsselte Passwörter im Klartext zugreifen. Dafür müssen sie aber bereits Zugriff auf Systeme haben und authentifiziert sein.

Um Systeme gegen die geschilderten Attacken abzusichern, müssen die Jenkins-Versionen 2.356, LTS 2.332.4 oder 2.346.1 installiert sein. Außerdem sollte sichergestellt sein, dass diese reparierten Plug-ins installiert sind:

  • Embeddable Build Status Plugin 2.0.4
  • Hidden Parameter Plugin 0.0.5
  • JUnit Plugin 1119.1121.vc43d0fc45561
  • Nested View Plugin 1.26
  • Pipeline: Input Step Plugin 449.v77f0e8b_845c4
  • REST List Parameter Plugin 1.6.0
  • xUnit Plugin 3.1.0

(des)