Sicherheitslücken in mehreren Jenkins-Plugins
Durch das Ausnutzen von Schwachstellen in insgesamt zehn Plugins könnten Angreifer unter anderem erweiterte Zugriffsrechte erlangen.
Die Entwickler von Jenkins, einem webbasierten Softwaresystem zum fortlaufenden Zusammenfügen von Komponenten zu einer Anwendung, warnen aktuell vor Sicherheitslücken in insgesamt zehn Plugins. Die gravierendsten Lücken befinden sich in den Plugins Blue Ocean, Groovy, Pipeline und Script Security. Laut Jenkins-Website bergen sie ein "hohes" Sicherheitsrisiko. Auch das Notfall-Team des BSI CERT-Bund kommt zu dieser Einschätzung.
Ein einfach authentisierter Angreifer könnte die Schwachstellen unter anderem nutzen, um aus der Ferne seine Rechte zu erweitern und sich unter Umgehung von Sicherheitsvorkehrungen Zugriff auf vertrauliche Daten zu verschaffen. Überdies sind mehrere Plugins anfällig für Cross-Site-Scripting-Angriffe.
Mittlerweile stehen abgesicherte Versionen aller Plugins zur Verfügung. Eine detaillierte Übersicht samt Update-Empfehlungen finden Jenkins-Nutzer in der Sicherheitswarnung.
(ovw)
