Sicherheitsupdates: Viele Jenkins-Plug-ins als Schlupflöcher für Angreifer
(Bild: AFANASEV IVAN/Shutterstock.com)
Software-Entwickler aufgepasst: Lücken in Plug-ins für den Automation-Server Jenkins geschlossen. Etliche Patches lassen aber noch auf sich warten.
Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren. Der Grund dafür sind Sicherheitslücken in mehreren Plug-ins. Sind Attacken erfolgreich, könnte im schlimmsten Fall Schadcode auf Systeme gelangen.
Elf der 33 geschlossenen Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. So könnten Angreifer etwa an einer Lücke (CVE-2022-34784) in build-metrics Plug-in ansetzen und über eine XSS-Attacke (stored) dauerhaft Schadcode hinterlegen. Diese Auswirkung trifft auch auf den Großteil der verbleibenden Lücken zu. Außerdem könnten Angreifer auf Passwörter im Klartext zugreifen.
Diese Plug-ins sind betroffen:
- Build Notifications Plugin bis einschließlich 1.5.034
- build-metrics Plugin bis einschließlich 1.3
- Cisco Spark Plugin bis einschließlich 1.1.1
- Deployment Dashboard Plugin bis einschließlich 1.0.10
- Elasticsearch Query Plugin bis einschließlich 1.2
- eXtreme Feedback Panel Plugin bis einschließlich 2.0.1
- Failed Job Deactivator Plugin bis einschließlich 1.2.1
- GitLab Plugin bis einschließlich 1.5.34
- HPE Network Virtualization Plugin bis einschließlich 1.0
- Jigomerge Plugin bis einschließlich 0.9
- Matrix Reloaded Plugin bis einschließlich 1.1.3
- OpsGenie Plugin bis einschließlich 1.9
- Plot Plugin bis einschließlich 2.1.10
- Project Inheritance Plugin bis einschließlich 21.04.03
- Recipe Plugin bis einschließlich 1.2
- Request Rename Or Delete Plugin bis einschließlich 1.1.0
- requests-plugin Plugin bis einschließlich 2.2.16
- Rich Text Publisher Plugin bis einschließlich 1.4
- RocketChat Notifier Plugin bis einschließlich 1.5.2
- RQM Plugin bis einschließlich 2.8
- Skype notifier Plugin bis einschließlich 1.1.0
- TestNG Results Plugin bis einschließlich 554.va4a552116332
- Validating Email Parameter Plugin bis einschließlich 1.10
- XebiaLabs XL Release Plugin bis einschließlich 22.0.0
- XPath Configuration Viewer Plugin bis einschließlich 1.1.1
Bislang sind einer Warnmeldung zufolge [1] nur die abgesicherte Versionen GitLab 1.5.35, requests-plugin 2.2.17, TestNG Results 555.va0d5f66521e3 und Xebia Labs XL Release 22.0.1 erschienen. Wann die anderen abgesicherten Ausgaben folgen, ist bislang unklar.
[2](des [3])
URL dieses Artikels:
https://www.heise.de/-7160083
Links in diesem Artikel:
- https://www.jenkins.io/security/advisory/2022-06-30/#SECURITY-2073
- https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
- mailto:des@heise.de
Copyright © 2022 Heise Medien