Jetzt updaten: Kritische Admin-Sicherheitslücken bedrohen TeamCity
Angreifer können die volle Kontrolle über die Software-Build-Plattform TeamCity erlangen. Sicherheitspatches stehen zum Download.
(Bild: Artur Szczybylo/Shutterstock.com)
Softwareentwickler, die mit Jet Brains TeamCity arbeiten, sollten das Continuous-Integration- und Deployment-Tool in der On-Premises-Version aus Sicherheitsgründen auf den aktuellen Stand bringen. Die Entwickler haben zwei "kritische" Sicherheitslücken geschlossen.
Unberechtigte Admin-Zugriffe
In einem Beitrag führen die Verantwortlichen aus, dass Angreifer ohne Authentifizierung mit HTTP(S)-Zugriff auf TeamCity-Server die Anmeldung umgehen und sich Admin-Rechte verschaffen können. Damit Admins Zeit zum Patchen haben, gibt es derzeit noch keine technischen Details zur Ausnutzung der beiden Schwachstellen (CVE-2024-27198, CVE-2024-27199).
Die On-Premises-Version 2023.11.4 ist dagegen gerüstet. Alle vorigen Ausgaben sollen verwundbar sein. TeamCity in der Cloud soll bereits abgesichert sein. Wenn Admins die abgesicherte Ausgabe derzeit nicht installieren können, hat Jet Brains Security Patch Plugins (TeamCity 2018.2 and newer und TeamCity 2018.1 and older) veröffentlicht. Eine Installationsanleitung gibt es im Supportbereich.
(des)
