TeamCity: Fehlerhafte Rechtevergabe ermöglicht Rechteausweitung
Eine Sicherheitslücke in TeamCity ermöglicht Angreifern, ihre Rechte auszuweiten. Ein bereitstehendes Update korrigiert den Fehler.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In TeamCity können Angreifer eine Sicherheitslücke missbrauchen, um ihre Rechte auszuweiten. Eine aktualisierte Version von TeamCity haben die Entwickler von JetBrains bereitgestellt, die den zugrundeliegenden Fehler korrigieren soll.
Details sind rar, vom Hersteller gibt es bislang keine weiteren Informationen oder Details zur Schwachstelle. Der CVE-Eintrag beschreibt lediglich knapp: "In JetBrains TeamCity vor Version 2024.07.1 kann eine Rechteausweitung aufgrund inkorrekter Verzeichnisrechte erfolgen" (CVE-2024-43114, CVSS 7.5, Risiko "hoch").
TeamCity zügig aktualisieren
Aufgrund des Schweregrads und der Einstufung als hochriskant der Schwachstelle sollten IT-Verantwortliche ihre JetBrains TeamCity-Installationen zeitnah auf den neuen Stand bringen. Auf der Webseite von JetBrains zu behobenen Sicherheitsfehlern taucht die Version 2024.07.1 bislang noch nicht auf. Das Changelog zur aktualisierten TeamCity-Fassung erwähnt jedoch insgesamt sechs Schwachstellen, die das Update ausbessert.
Auf der Produkt-Webseite von JetBrains steht TeamcIty 2024.07.1 zum Herunterladen bereit. Neben den sicherheitsrelevanten Fehlern korrigiert sie auch diverse weitere Bugs, die das Changelog auflistet.
In TeamCity finden IT-Sicherheitsforscher öfter Schwachstellen. Im März etwa mussten die Entwickler mit aktualisierter Software eine Sicherheitslücke stopfen, die Angreifern die volle Kontrolle über TeamCity verschaffen konnte. Dazu war keine vorherige Authentifizierung nötig.
(dmk)