Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren
Softwareentwickler aufgepasst: Es gibt wichtige Sicherheitsupdates für mehrere Jenkins-Plug-ins. Angreifer könnten auf Log-in-Daten zugreifen.
Das Open-Source-Automationswerkzeug Jenkins kommt in vielen Software-Entwicklungsumgebungen zum Einsatz. Angreifer könnten an mehreren Schwachstellen ansetzen, um sich Zugriff auf Systeme zu verschaffen. Noch sind nicht alle Sicherheitsupdates erschienen.
Gefährliche Sicherheitslücken
In einer Warnmeldung listen die Entwickler die verwundbaren Plug-ins auf. Darunter sind unter anderem Ansible, Email Extension und SAML Single Sign On. Acht LĂĽcken sind mit dem Bedrohungsgrad "hoch" eingestuft.
Angreifer könnten für eine persistente XSS-Attacke an Job Plug-in (CVE-2023-32977 "hoch") oder TestNG Results (CVE-2023-32984 "hoch") ansetzen. Eine Schwachstelle in File Parameter Plug-in (CVE-2023-32986 "hoch") erlaubt es Angreifer Dateien zu manipulieren.
Fehler in der Authentifizierung via SAML Single Sign On können unter anderem dazu führen, dass sich Angreifer als Man-in-the-Middle in Verbindung einklinken und belauschen (CVE-2023-32993"mittel", CVE-2023-32994 "mittel").
Über eine Schwachstelle (CVE-2023-33001 "mittel") in HashiCorp Vault Plug-in können Zugangsdaten leaken. Unter bestimmten Voraussetzungen werden Anmeldedaten im Build-Protokoll nicht ausreichend maskiert. Dagegen ist bislang noch kein Sicherheitsupdate verfügbar.
Wie Angreifer die Sicherheitslücken ausnutzen könnten, führen die Entwickler derzeit nicht aus.
Warten auf Patches
FĂĽr den GroĂźteil der LĂĽcken sind bereits Sicherheitsupdates erschienen. FĂĽr die folgenden Plug-ins wurden bislang keine Patches angekĂĽndigt. Ob und wann welche erscheinen, ist bislang unbekannt.
- HashiCorp Vault Plugin
- LoadComplete support Plugin
- Tag Profiler Plugin
- TestComplete support Plugin
- WSO2 Oauth Plugin
(des)