Alert!

Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren

Softwareentwickler aufgepasst: Es gibt wichtige Sicherheitsupdates für mehrere Jenkins-Plug-ins. Angreifer könnten auf Log-in-Daten zugreifen.

In Pocket speichern vorlesen Druckansicht

(Bild: Photon photo/Shutterstock.com)

Lesezeit: 2 Min.

Das Open-Source-Automationswerkzeug Jenkins kommt in vielen Software-Entwicklungsumgebungen zum Einsatz. Angreifer könnten an mehreren Schwachstellen ansetzen, um sich Zugriff auf Systeme zu verschaffen. Noch sind nicht alle Sicherheitsupdates erschienen.

In einer Warnmeldung listen die Entwickler die verwundbaren Plug-ins auf. Darunter sind unter anderem Ansible, Email Extension und SAML Single Sign On. Acht Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft.

Angreifer könnten für eine persistente XSS-Attacke an Job Plug-in (CVE-2023-32977 "hoch") oder TestNG Results (CVE-2023-32984 "hoch") ansetzen. Eine Schwachstelle in File Parameter Plug-in (CVE-2023-32986 "hoch") erlaubt es Angreifer Dateien zu manipulieren.

Fehler in der Authentifizierung via SAML Single Sign On können unter anderem dazu führen, dass sich Angreifer als Man-in-the-Middle in Verbindung einklinken und belauschen (CVE-2023-32993"mittel", CVE-2023-32994 "mittel").

Über eine Schwachstelle (CVE-2023-33001 "mittel") in HashiCorp Vault Plug-in können Zugangsdaten leaken. Unter bestimmten Voraussetzungen werden Anmeldedaten im Build-Protokoll nicht ausreichend maskiert. Dagegen ist bislang noch kein Sicherheitsupdate verfügbar.

Wie Angreifer die Sicherheitslücken ausnutzen könnten, führen die Entwickler derzeit nicht aus.

Für den Großteil der Lücken sind bereits Sicherheitsupdates erschienen. Für die folgenden Plug-ins wurden bislang keine Patches angekündigt. Ob und wann welche erscheinen, ist bislang unbekannt.

  • HashiCorp Vault Plugin
  • LoadComplete support Plugin
  • Tag Profiler Plugin
  • TestComplete support Plugin
  • WSO2 Oauth Plugin

(des)