Die Entwickler der beliebten Jenkins-Software haben eine kritische Sicherheitsl\u00fccke bekannt gegeben, die potenziell sensible Informationen gef\u00e4hrdet. Hierbei handelt es sich um eine Schwachstelle in der Kommandozeilenschnittstelle (CLI) des Jenkins Core. Angreifer k\u00f6nnten \u00fcber diese L\u00fccke auf beliebige Dateien zugreifen, darunter auch solche, die kryptografische Schl\u00fcssel enthalten. Die Ver\u00f6ffentlichung der Sicherheitsl\u00fccke weist auf insgesamt f\u00fcnf potenzielle Angriffsm\u00f6glichkeiten hin, \u00fcber die b\u00f6sartige Akteure eingeschleusten Code ausf\u00fchren k\u00f6nnen, um Geheimnisse zu entschl\u00fcsseln oder Dateien in Jenkins zu l\u00f6schen. Die Schwachstelle tr\u00e4gt die Bezeichnung CVE-2024-23897 und erreicht einen CVSS-Score von 9.8, was auf ein hohes Gef\u00e4hrdungspotenzial hinweist.<\/p>\n
Neben dieser Hauptl\u00fccke besteht zus\u00e4tzlich die Gefahr des Cross-Site Websocket Hijackings. Hierbei k\u00f6nnen Angreifer die Command Line Interface Websockets von anderen Seiten \u00fcbernehmen und f\u00fcr ihre Zwecke nutzen. Die Schwachstelle wird als CVE-2024-23898 bezeichnet und erreicht einen CVSS-Score von 8.8.<\/p>\n
Des Weiteren wurden weitere Sicherheitsl\u00fccken in verschiedenen Plug-ins von Jenkins identifiziert. Besonders kritisch sind dabei das Git Server Plug-in, das Log Command Plug-in, das Qualys Policy Compliance Scanning Plug-in und das Red Hat Dependency Analytics Plug-in. Diese weisen alle ein hohes Risiko auf. Aber auch das Matrix Project Plug-in und das Gitlab Branch Source Plug-in sind von Sicherheitsl\u00fccken betroffen, wenn auch mit einem mittleren Risiko.<\/p>\n
Die Entwickler von Jenkins haben bereits reagiert und Sicherheitsupdates f\u00fcr alle betroffenen Komponenten bereitgestellt. Es wird dringend empfohlen, diese Updates so schnell wie m\u00f6glich zu installieren, um die Sicherheit der eigenen Jenkins-Installation zu gew\u00e4hrleisten. Dar\u00fcber hinaus sollten Administratoren ihre Systeme regelm\u00e4\u00dfig auf weitere Schwachstellen \u00fcberpr\u00fcfen und stets auf dem neuesten Stand halten, um potenziellen Angriffen vorzubeugen. Eine regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Sicherheitsma\u00dfnahmen und die Einhaltung bew\u00e4hrter Sicherheitspraktiken sind von entscheidender Bedeutung, um sensible Daten zu sch\u00fctzen und m\u00f6gliche Sicherheitsbedrohungen zu minimieren.<\/p>\n
In einer Zeit, in der Datenlecks und Sicherheitsverletzungen immer h\u00e4ufiger auftreten, ist es von gr\u00f6\u00dfter Wichtigkeit, dass Unternehmen und Organisationen ihre Software und Systeme regelm\u00e4\u00dfig auf Schwachstellen \u00fcberpr\u00fcfen und sicherstellen, dass alle verf\u00fcgbaren Sicherheitsupdates zeitnah installiert werden. Nur so kann ein angemessener Schutz der sensiblen Daten gew\u00e4hrleistet und m\u00f6gliche Angriffe abgewehrt werden. In diesem Fall sollten alle Jenkins-Nutzer die bereitgestellten Sicherheitsupdates umgehend installieren, um das Risiko eines Datenverlusts oder unberechtigten Zugriffs auf ihre Systeme zu minimieren.<\/p>\n
Schlagw\u00f6rter: Jenkins Core + CVSS + Qualys<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Entwickler der beliebten Jenkins-Software haben eine kritische Sicherheitsl\u00fccke bekannt gegeben, die potenziell sensible Informationen gef\u00e4hrdet. Hierbei handelt es sich um eine Schwachstelle in der Kommandozeilenschnittstelle (CLI) des Jenkins Core. Angreifer k\u00f6nnten \u00fcber diese L\u00fccke auf beliebige Dateien zugreifen, darunter auch solche, die kryptografische Schl\u00fcssel enthalten. Die Ver\u00f6ffentlichung der Sicherheitsl\u00fccke...<\/p>\n","protected":false},"author":4,"featured_media":3589,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-3590","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3590","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3590"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3590\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/3589"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}