Softwareentwicklung: Schadcode-Attacken auf Automation-Server Jenkins möglich
Angreifer könnten Jenkins-Instanzen über mehrere Sicherheitslücken attackieren. Dagegen abgesicherte Versionen stehen zum Download bereit.
(Bild: Artur Szczybylo/Shutterstock.com)
Entwickler, die das Open-Source-Automationswerkzeug Jenkins bei der Softwareerstellung einsetzen, sollten es zĂĽgig auf den aktuellen Stand bringen. In aktuellen Ausgaben und in verschiedenen Plug-ins hat das Jenkins-Team 20 SicherheitslĂĽcken geschlossen.
Mit Schadcode verseucht
In einer Warnmeldung steht, dass vier Lücken (CVE-2022-34176, CVE-2022-34177, CVE-2022-34178, CVE-2022-34182) mit dem Bedrohungsgrad „hoch“ eingestuft sind. Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie beispielsweise dauerhaft Schadcode auf Systemen platzieren (Stored XSS). Geschieht so etwas auf einem Webserver, wird der Code bei jedem Besuch der Website ausgeliefert und ausgeführt. Außerdem könnten Angreifer noch Dateien überschreiben.
Die verbleibenden Schwachstellen sind mit den Einstufungen „mittel“ und „niedrig“ versehen. Hier könnten Angreifer beispielsweise auf unverschlüsselte Passwörter im Klartext zugreifen. Dafür müssen sie aber bereits Zugriff auf Systeme haben und authentifiziert sein.
Sicherheitsupdates
Um Systeme gegen die geschilderten Attacken abzusichern, mĂĽssen die Jenkins-Versionen 2.356, LTS 2.332.4 oder 2.346.1 installiert sein. AuĂźerdem sollte sichergestellt sein, dass diese reparierten Plug-ins installiert sind:
- Embeddable Build Status Plugin 2.0.4
- Hidden Parameter Plugin 0.0.5
- JUnit Plugin 1119.1121.vc43d0fc45561
- Nested View Plugin 1.26
- Pipeline: Input Step Plugin 449.v77f0e8b_845c4
- REST List Parameter Plugin 1.6.0
- xUnit Plugin 3.1.0
(des)
