Softwareerstellung: Einige Jenkins-Plug-ins werden abgesichert, andere nicht
Entwicklungsumgebungen mit bestimmten Plug-ins für Jenkins sind verwundbar. Bislang sind noch nicht für alle Sicherheitspatches erschienen.
(Bild: Sashkin/Shutterstock.com)
Software-Entwickler aufgepasst: Angreifer könnten Server mit dem Open-Source-Automationswerkzeug Jenkins attackieren, wenn einige jüngst als angreifbar eingestufte Plug-ins zum Einsatz kommen.
Warten auf Sicherheitsupdates
Das sind etwa Android Signing, Git und Openstack Heat. Die vollständige Liste haben die Jenkins-Entwickler in einer Warnmeldung aufgelistet. Wer Jenkins mit Plug-ins einsetzt, sollte sich die Liste ganz genau anschauen und prüfen, ob es bereits Sicherheitspatches gibt.
Einige Patches sind schon erschienen, doch für etwa Android Signing, Google Cloud Backup und Repository Connector ist das bislang nicht der Fall. Wann die Updates folgen, ist derzeit nicht bekannt. Sicherheitshalber sollte man betroffen Plug-ins temporär deaktivieren oder deinstallieren.
Attacken mit gefährlichen Auswirkungen
Für den Großteil der Lücken gilt der Bedrohungsgrad "mittel". Sind Attacken erfolgreich, könnten Angreifer unter anderem unberechtigt auf Daten zur Manipulation zugreifen oder als Man-in-the-Middle Verbindungen belauschen.
Für diese Plug-ins sind noch keine Sicherheitspatches verfügbar:
- Android Signing Plugin
- Buckminster Plugin
- CLIF Performance Testing Plugin
- Coverity Plugin
- Dynamic Extended Choice Parameter Plugin
- Files Found Trigger Plugin
- Google Cloud Backup Plugin
- HTTP Request Plugin
- Lucene-Search Plugin
- Maven Metadata Plugin for Jenkins CI server Plugin
- OpenShift Deployer Plugin
- Openstack Heat Plugin
- Repository Connector Plugin
(des)
