Entwickler, die das Open-Source-Automatisierungstool Jenkins beim Erstellen von Software verwenden, sollten es so schnell wie möglich aktualisieren. Das Jenkins-Team hat 20 Schwachstellen in aktuellen Versionen und diversen Plugins geschlossen.
Mit bösartigem Code verseucht
Eine Warnung weist darauf hin, dass vier Schwachstellen (CVE-2022-34176, CVE-2022-34177, CVE-2022-34178, CVE-2022-34182) als hohe Bedrohung eingestuft werden. Wenn Angreifer Schwachstellen erfolgreich ausnutzen, könnten sie bspw. Schadcode dauerhaft auf Systemen platzieren (gespeichertes XSS). Wenn so etwas auf einem Webserver passiert, wird der Code bei jedem Besuch der Website veröffentlicht und ausgeführt. Außerdem könnten Angreifer noch Dateien überschreiben.
Die anderen Schwachstellen werden als „mittel“ und „niedrig“ eingestuft. Angreifer könnten beispielsweise an unverschlüsselte Passwörter im Klartext gelangen. Dazu müssen sie allerdings bereits Zugriff auf die Systeme haben und authentifiziert sein.
Sicherheitsupdates
Um die Systeme vor den beschriebenen Angriffen zu schützen, müssen die Jenkins-Versionen 2.356, LTS 2.332.4 oder 2.346.1 installiert sein. Stellen Sie außerdem sicher, dass diese reparierten Plugins installiert sind:
- Eingebetteter Konstruktionsstatus-Konnektor 2.0.4
- Versteckter Parameterkonnektor 0.0.5
- JUnit-Konnektor 1119.1121.vc43d0fc45561
- Verschachtelter Display-Anschluss 1.26
- Pipeline: Input Pass Connector 449.v77f0e8b_845c4
- REST-Listenparameter-Konnektor 1.6.0
- XUnit 3.1.0-Anschluss
(aus)
Auf der Homepage