Sicherheitsbedenken bei Jenkins-Plug-ins: Updates sind da, aber nicht für alle!

Aktuell gibt es einige Sicherheitsbedenken in Bezug auf Software-Entwicklungsumgebungen, genauer gesagt in neun Plug-ins des Open-Source-Automationswerkzeugs Jenkins. Aber zum Glück wurden schon einige Sicherheitspatches veröffentlicht, um diese Schwachstellen zu beheben. Von den insgesamt elf identifizierten Schwachstellen wurden zwei als besonders riskant eingestuft.

Die erste hochriskante Schwachstelle betrifft das Github-Plug-in (CVE-2023-46650). Bei dieser Schwachstelle können Angreifer eine sogenannte Stored-XSS-Attacke durchführen. Klingt nach einer Zauberkunststück, oder? Aber eigentlich bedeutet es nur, dass die Angreifer schädlichen Code auf den betroffenen Servern ablegen können. Dieser Code wird dann im Webbrowser jedes Opfers ausgeführt. Das ist natürlich alles andere als lustig und kann zu erheblichem Schaden führen.

Die zweite als hochriskant eingestufte Schwachstelle betrifft das CloudBess-CD-Plug-in (CVE-2023-46654). Hierbei ist es möglich, unbefugt auf Dateien zuzugreifen und sogar welche zu löschen. Das ist natürlich besonders bedenklich, da diese Schwachstelle in einem Post-Build-Schritt ausgenutzt werden kann. Also quasi ein unerwünschter Postbote, der sich Zugang zu deinen Sachen verschafft und sie einfach wegwirft.

Die restlichen Schwachstellen wurden als niedrig eingestuft, aber das bedeutet nicht, dass sie harmlos sind. Sie ermöglichen Angreifern den Zugriff auf Zugangsdaten oder Tokens. Das kann ebenfalls großen Schaden anrichten und sollte nicht unterschätzt werden. Es ist also wichtig, hier wachsam zu sein.

Zum Glück wurden für die meisten der betroffenen Plug-ins bereits Sicherheitsupdates veröffentlicht. Das ist wie der Superheld, der zur Rettung kommt. Aber leider gibt es bisher noch keine Updates für die Plug-ins MSTeams Webhook Trigger und Zanata. Das ist so, als würde der Superheld ein paar seiner Superkräfte vergessen. Deshalb sollte man den Einsatz dieser Plug-ins vorerst überdenken oder alternative Lösungen finden, um die Sicherheit der Softwareentwicklungsumgebung zu gewährleisten.

Insgesamt ist es von größter Bedeutung, dass Softwareentwickler und Administratoren die Sicherheit ihrer Entwicklungsumgebung ernst nehmen und regelmäßig nach Sicherheitsupdates suchen. Denn wir alle wissen, dass veraltete Plug-ins zu erheblichen Sicherheitsrisiken führen können. Also haltet eure Umgebung sicher und aktualisiert eure Jenkins-Installationen!

Hier ist noch eine Liste der verfügbaren Sicherheitsupdates:
– Update 1
– Update 2
– Update 3
– …

Schlagwörter: Jenkins + Plugins + Schwachstellen

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 26. Oktober 2023
FEHLER!