Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Software-Entwicklungs-Tool Jenkins schließt mehrere Sicherheitslücken

In dem Software-Entwicklungs-Tool Jenkins bessern die Entwickler sieben Sicherheitslücken aus. Die meisten gelten als hochriskant.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Ein Kreis-Pfeil, auf den ein Mensch mit Finger klickt.

(Bild: Shutterstock/chanpipat)

Lesezeit: 2 Min.
Security
Von

Die aktualisierte Version der Open-Source-Software Jenkins dichtet mehrere Sicherheitslücken ab. Diese stufen die Entwickler zum Großteil als hochriskant ein.

Jenkins ist ein webbasiertes Software-Entwicklungs-Tool mit zahlreichen Plug-ins, das wiederkehrende Aufgaben wie den Build-Prozess von Software automatisiert und dabei das Zusammenfassen von Funktionen mit APIs und Bibliotheken erlaubt.

Hochriskante Sicherheitslücken in Jenkins-Plug-ins

In einer Sicherheitsmitteilung schreiben die Jenkins-Entwickler, dass Sicherheitslücken in insgesamt sieben Plug-ins entdeckt wurden. Davon ordnen sie sechs als hohes und eines als mittleres Risiko ein.

Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins:

  • Umgehung von Sicherheitsmaßnahmen in Shared Library Version Override Plugin, CVE-2024-52554, Risiko "hoch"
  • XXE-Schwachstelle in IvyTrigger Plugin, CVE-2022-46751, hoch
  • Unzureichende Session-Invalidierung ermöglicht Admin-Zugang mit Social Engineering in OpenId Connect Authentication Plugin, CVE-2024-52553, hoch
  • Cross-Site-Scripting-Lücke in Authorize Project Plugin, CVE-2024-52552, hoch
  • Fehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Declarative Plugin, CVE-2024-52551, hoch
  • Fehlende Prüfung einer Rebuild-Erlaubnis in Pipeline: Groovy Plugin, CVE-2024-52550, hoch
  • Fehlende Rechteprüfng in Script Security Plugin, CVE-2024-52549, mittel

Die Projektbeteiligten schreiben, dass die Updates auf die Versionen

  • Authorize Project Plugin 1.8.0
  • IvyTrigger Plugin 1.02
  • OpenId Connect Authentication Plugin 4.421.v5422614eb_e0a_
  • Pipeline: Declarative Plugin 2.2218.v56d0cda_37c72
  • Pipeline: Groovy Plugin 3993.v3e20a_37282f8
  • Script Security Plugin 1368.vb_b_402e3547e7
  • Shared Library Version Override Plugin 19.v3a_c975738d4a_

die Schwachstellen ausbessern. Admins sollten die Aktualisierungen zeitnah anwenden, um die Angriffsfläche zu minimieren.

Lesen Sie auch

Im August haben Cyberkriminelle Schwachstellen in Jenkins-Servern aktiv angegriffen. Davor hatte die US-amerikanische Cybersicherheitsbehörde CISA gewarnt. Da Jenkins für Online-Kriminelle offenbar ein interessantes Ziel ist, sollten IT-Verantwortliche ihre Jenkins-Instanzen zügig auf den aktuellen Stand bringen.

(dmk)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten