Softwareentwicklung: Jenkins-Plug-ins verwundbar, viele Updates stehen noch aus

Wenn das Open-Source-Automationswerkzeug Jenkins bei der Softwareerstellung zum Einsatz kommt, sollten Entwickler eingesetzte Plug-ins auf Aktualisierungen prüfen. Geschieht dies nicht, könnten Angreifer an mehreren Schwachstellen ansetzen und unter anderem Sicherheitsmechanismen umgehen.

Mit Jenkins automatisiert man verschiedene Aufgaben beim Erstellen und Testen von Software. Einer Warnmeldung zufolge sind folgende Plug-ins verwundbar:

• Assembla merge request builder Plugin bis einschließlich Version 1.1.13
• Azure Key Vault Plugin bis einschließlich Version 187.va_cd5fecd198a_
• Consul KV Builder Plugin bis einschließlich Version 2.0.13
• Fogbugz Plugin bis einschließlich Version 2.2.17
• Image Tag Parameter Plugin bis einschließlich Version 2.0
• Kubernetes Plugin bis einschließlich Version 3909.v1f2c633e8590
• Lucene-Search Plugin bis einschließlich Version 387.v938a_ecb_f7fe9
• NeuVector Vulnerability Scanner Plugin bis einschließlich Version 1.22
• Quay.io trigger Plugin bis einschließlich Version 0.1
• Report Portal bis einschließlich Version 0.5
• Thycotic DevOps Secrets Vault Plugin bis einschließlich Version 1.0.0
• Thycotic Secret Server Plugin bis einschließlich Version 1.0.2
• TurboScript Plugin bis einschließlich Version 1.3
• WSO2 Oauth Plugin bis einschließlich Version 1.0

Mögliche Attacken

Der Großteil der Sicherheitslücken ist mit dem Bedrohungsgrad "mittel" eingestuft. Über eine mit "hoch" eingestufte Schwachstelle (CVE-2023-30520) in Quay.io Trigger Plug-in könnten Angreifer mit präparierten URLs eine XSS-Attacke ausüben.

In den anderen Fällen könnten Angreifer unter anderem die Authentifizierung umgehen oder auf Tokens im Klartext zugreifen. Bislang sind als Sicherheitsupdates nur Azure Key Vault Plugin 188.vf46b_7fa_846a_1 und Kubernetes Plugin 3910.ve59cec5e33ea_ erschienen. Wann die restlichen Plug-ins gegen mögliche Attacken gerüstet werden, ist bislang nicht bekannt.

(des)