Viele Lücken im Software-System Jenkins entdeckt – und noch nicht geschlossen

(Bild: Artur Szczybylo/Shutterstock.com)

Entwickler sollten ihre Jenkins-Umgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Viele Updates sind jedoch noch nicht verfügbar.

Wer das Software-System Jenkins zur Entwicklung einsetzt, sollte die aktuelle Sicherheitswarnung der Entwickler genaustens studieren. Dort gibt es Informationen zu kürzlich entdeckten Sicherheitslücken und Patches. Einige Sicherheitsupdates lassen aber noch auf sich warten.

Jenkins ist ein Automation-Server, mit dem man verschiedene Aufgaben beim Erstellen und Testen von Software automatisieren kann.

Wie man dem Beitrag entnehmen kann [1], ist der Großteil der Lücken mit dem Bedrohungsgrad "mittel" eingestuft. Die Schwachstellen betreffen Jenkins selbst, aber auch einige Plug-ins. Unter anderem eine Lücke (CVE-2022-20617) im Docker Commons Plug-in ist mit "hoch" eingestuft. Hier könnten Angreifer mit bestimmten Rechten nach erfolgreichen Attacken eigene Kommandos ausführen. Die Version 1.18 ist gegen solche Angriffe abgesichert.

Setzen Angreifer am Debian Package Builder Plug-in bis einschließlich Version 1.6.11 an, könnten sie ebenfalls eigene Befehle ausführen (CVE-2022-23118 "hoch"). Dafür gibt es bislang noch keinen Sicherheitspatch. Wann das so weit sein soll, ist derzeit unbekannt.

Weitere Informationen zu den Lücken und Sicherheitsupdates kann man in der Warnmeldung nachlesen [2].


URL dieses Artikels:
https://www.heise.de/-6326362

Links in diesem Artikel:
[1] https://www.jenkins.io/security/advisory/2022-01-12/
[2] https://www.jenkins.io/security/advisory/2022-01-12/
[3] mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Copyright © 2022 Heise Medien



Read full article on Heise


Registrieren

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.