Sicherheitsupdates: Jenkins vielfältig angreifbar
Unter gewissen Voraussetzungen könnten Angreifer sich höhere Rechte erschleichen oder sogar Schadcode ausführen.
Im webbasierten Softwaresystem zur kontinuierlichen Integration von Komponenten zu einer Anwendung Jenkins klaffen mehrere Sicherheitslücken. Den Bedrohungsgrad der Schwachstellen stufen die Entwickler in der Sicherheitswarnung als "kritisch", "hoch" und "mittel" ein. Das Notfall-Team des BSI CERT Bund sieht das Risiko ebenfalls als "sehr hoch" an. Die Lücken finden sich in allen Versionen. Nutzer sollten zügig die abgesicherten Ausgaben 2.57 und 2.46.2 LTS installieren.
Als besonders kritisch gilt eine Lücke (CVE-2017-1000353) in der Kommandozeile (CLI) von Jenkins. Angreifer sollen diese ohne Authentifizierung aus der Ferne zum Ausführen von Schadcode ausnutzen können. Durch die weiteren Schwachstellen sind CSRF-Angriffe vorstellbar, mittels denen sich Angreifer mit höheren Rechten ausstatten könnten. Zudem ist ein Java-Prozess von Jenkins für eine DoS-Attacke anfällig. (des)
