Jenkins: Neue Version schließt Schwachstellen
Wer bei der Software-Entwicklung Jenkins nutzt, sollte zügig auf die aktuelle Version umsteigen: Sie sichert die Anwendung gegen zwei Angriffsmöglichkeiten aus der Ferne ab.
(Bild: Jenkins)
In Jenkins, einem webbasierten System zur kontinuierlichen Integration von Komponenten zu einer Anwendung, stecken zwei Schwachstellen. Ein entfernter, unauthentisierter Angreifer könnte sie im schlimmsten Fall zur vollständigen Kompromittierung von Jenkins-Installationen missbrauchen. Das CERT Bund bewertet das von den Schwachstellen ausgehende Gesamtrisiko als "hoch". Das Jenkins-Team selbst schätzt die Gefahr mit einem CVSS-v3-Score von 8.1 ganz ähnlich ein und weist in einem Sicherheitshinweis auf bereitstehende neue Versionen hin.
Beide Schwachstellen resultieren aus einer so genannten Race Condition, die dazu führt, dass Programmierbefehle beim Programmstart möglicherweise in der falschen Reihenfolge ausgeführt werden. Dies wiederum ermöglicht das Umgehen implementierter Sicherheitsvorkehrungen.
Updates verfügbar
Bezüglich der betroffenen Versionen differenziert der von Jenkins veröffentlichte Sicherheitshinweis zwischen den beiden Schwachstellen. Zusammenfassend lässt sich jedoch sagen, dass alle Jenkins-Versionen bis einschließlich 2.94 sowie Jenkins LTS bis Version 2.89.1 inklusive von mindestens einer Schwachstelle betroffen sind.
Jenkins 2.95 sowie die LTS-Version 2.89.2 enthalten die nötigen Fixes. Wer zuvor eine der sicherheitsanfälligen Versionen verwendet hat, sollte nach dem Update noch einmal die Schutz-Optionen des Programms (abrufbar unter "Configure Global Security") überprüfen und bei Bedarf manuell nachjustieren. (ovw)
