Automatisierungstool Jenkins: Codeschmuggel durch Sicherheitslücke möglich

Die Open-Source-Automatisierungssoftware Jenkins dichtet mit Updates teils kritische Sicherheitslücken ab. Durch eine kritische Lücke im Jenkins-Kernsystem können Angreifer gar Schadcode einschleusen, warnten die Entwickler. Zudem beheben die Aktualisierungen Schwachstellen in sechs Plug-ins.

Die Sicherheitsmeldung der Jenkins-Entwickler erläutert, dass in Jenkins Core eine Sicherheitslücke an der Kommandozeilenschnittstelle (CLI, Command Line Interface) dazu führt, dass Angreifer beliebige Dateien auslesen können. Darunter auch etwa auch solche mit kryptografischen Schlüsseln oder andere Dateien, deren Pfade bekannt sind. Die Programmierer beschreiben fünf Wege, wie bösartige Akteure das zum Ausführen von eingeschleustem Code missbrauchen und etwa Geheimnisse entschlüsseln oder beliebige Items in Jenkins löschen können (CVE-2024-23897, CVSS 9.8, Risiko "kritisch").

Mehrere Lücken in Jenkins Core und Plug-ins

Das Command Line Interface ermöglicht aufgrund einer Schwachstelle zudem die Übernahme von Websockets von anderen Seiten aus (Cross-site Websocket hijacking) (CVE-2024-23898, CVSS 8.8, hoch). Weitere Sicherheitslücken betreffen das Git Server Plug-in, Log Command Plug-in, Qualys Policy Compliance Scanning Connector Plug-in, Red Hat Dependency Analytics Plug-in, (alle hohes Risiko) sowie das Matrix Project Plug-in und Gitlab Branch Source Plug-in (jeweils mittleres Risiko).

Mit der Aktualisierung auf Jenkins Weekly 2.442, Jenkins LTS 2.426.3, Git Server Plug-in 99.101.v720e86326c09, Gitlab Branch Source Plug-in 688.v5fa_356ee8520, Matrix Project Plug-in 822.824.v14451b_c0fd42, Qualys Policy Compliance Scanning Connector Plug-in 1.0.6 sowie Red Hat Dependency Analytics Plug-in 0.9.0 sollten die Schwachstellen dann Geschichte sein.

Ende Oktober mussten die Projektbetreuer in neun Jenkins-Plug-ins Sicherheitslücken schließen. Davon waren mehrere als hohes Risiko eingestuft.

(dmk)