Sicherheitsupdates: Jenkins und mehrere Plugins angreifbar
In Jenkins klaffen mehrere Sicherheitslücken. Unter Umständen könnten Angreifer diese zur Ausführung von Schadcode missbrauchen. Es gibt Sicherheitsupdates – eine Lücke bleibt aber vorerst offen.
(Bild: American Advisors Group, CC BY 2.0)
Sicherheitsupdates für Jenkins (weekly und LTS) und die Plugins Maven und Swarm Client schließen zehn Schwachstellen. Das Plugin Speak! bleibt verwundbar – ein Sicherheitspatch steht noch aus. Keine Lücke gilt als kritisch. Drei sind mit dem Bedrohungsgrad "hoch" eingestuft. Das geht aus der offiziellen Sicherheitswarnung hervor. Das CERT Bund stuft das Risiko insgesamt als "hoch" ein.
Bei Jenkins handelt es sich um ein webbasiertes Softwaresystem zum fortlaufenden ZusammenfĂĽgen von Komponenten zu einer Anwendung.
Ein Plugin ohne Sicherheitsupdate
Von den Lücken sollen alle Ausgaben von Jenkins betroffen sein. Abgesichert sind die Ausgaben 2.84 (weekly) und 2.73.2 (LTS). Das Maven-Plugin ist der in der abgesicherten Version 3.0 und Swarm in Version 3.5 erschienen. Für Speak! gibt es noch keine fehlerbereinigte Ausgabe und das Plugin könnte als Einfallstor für Schadcode dienen. Derzeit wird es nicht mehr verbreitet. Wann es eine abgesicherte Version gibt, ist gegenwärtig nicht bekannt.
Nutzen Angreifer die anderen Lücken aus, können sie unter anderem DoS- und Man-in-the.Middle-Attacken ausführen und Informationen erschnüffeln. (des)
