{"id":775,"date":"2023-10-26T09:45:08","date_gmt":"2023-10-26T09:45:08","guid":{"rendered":"https:\/\/byte-bucket.com\/2023\/10\/26\/sicherheitsbedenken-bei-jenkins-plug-ins-updates-sind-da-aber-nicht-fuer-alle\/"},"modified":"2023-10-26T09:45:08","modified_gmt":"2023-10-26T09:45:08","slug":"sicherheitsbedenken-bei-jenkins-plug-ins-updates-sind-da-aber-nicht-fuer-alle","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=775","title":{"rendered":"Sicherheitsbedenken bei Jenkins-Plug-ins: Updates sind da, aber nicht f\u00fcr alle!"},"content":{"rendered":"

Aktuell gibt es einige Sicherheitsbedenken in Bezug auf Software-Entwicklungsumgebungen, genauer gesagt in neun Plug-ins des Open-Source-Automationswerkzeugs Jenkins. Aber zum Gl\u00fcck wurden schon einige Sicherheitspatches ver\u00f6ffentlicht, um diese Schwachstellen zu beheben. Von den insgesamt elf identifizierten Schwachstellen wurden zwei als besonders riskant eingestuft.<\/p>\n

Die erste hochriskante Schwachstelle betrifft das Github-Plug-in (CVE-2023-46650). Bei dieser Schwachstelle k\u00f6nnen Angreifer eine sogenannte Stored-XSS-Attacke durchf\u00fchren. Klingt nach einer Zauberkunstst\u00fcck, oder? Aber eigentlich bedeutet es nur, dass die Angreifer sch\u00e4dlichen Code auf den betroffenen Servern ablegen k\u00f6nnen. Dieser Code wird dann im Webbrowser jedes Opfers ausgef\u00fchrt. Das ist nat\u00fcrlich alles andere als lustig und kann zu erheblichem Schaden f\u00fchren.<\/p>\n

Die zweite als hochriskant eingestufte Schwachstelle betrifft das CloudBess-CD-Plug-in (CVE-2023-46654). Hierbei ist es m\u00f6glich, unbefugt auf Dateien zuzugreifen und sogar welche zu l\u00f6schen. Das ist nat\u00fcrlich besonders bedenklich, da diese Schwachstelle in einem Post-Build-Schritt ausgenutzt werden kann. Also quasi ein unerw\u00fcnschter Postbote, der sich Zugang zu deinen Sachen verschafft und sie einfach wegwirft.<\/p>\n

Die restlichen Schwachstellen wurden als niedrig eingestuft, aber das bedeutet nicht, dass sie harmlos sind. Sie erm\u00f6glichen Angreifern den Zugriff auf Zugangsdaten oder Tokens. Das kann ebenfalls gro\u00dfen Schaden anrichten und sollte nicht untersch\u00e4tzt werden. Es ist also wichtig, hier wachsam zu sein.<\/p>\n

Zum Gl\u00fcck wurden f\u00fcr die meisten der betroffenen Plug-ins bereits Sicherheitsupdates ver\u00f6ffentlicht. Das ist wie der Superheld, der zur Rettung kommt. Aber leider gibt es bisher noch keine Updates f\u00fcr die Plug-ins MSTeams Webhook Trigger und Zanata. Das ist so, als w\u00fcrde der Superheld ein paar seiner Superkr\u00e4fte vergessen. Deshalb sollte man den Einsatz dieser Plug-ins vorerst \u00fcberdenken oder alternative L\u00f6sungen finden, um die Sicherheit der Softwareentwicklungsumgebung zu gew\u00e4hrleisten.<\/p>\n

Insgesamt ist es von gr\u00f6\u00dfter Bedeutung, dass Softwareentwickler und Administratoren die Sicherheit ihrer Entwicklungsumgebung ernst nehmen und regelm\u00e4\u00dfig nach Sicherheitsupdates suchen. Denn wir alle wissen, dass veraltete Plug-ins zu erheblichen Sicherheitsrisiken f\u00fchren k\u00f6nnen. Also haltet eure Umgebung sicher und aktualisiert eure Jenkins-Installationen!<\/p>\n

Hier ist noch eine Liste der verf\u00fcgbaren Sicherheitsupdates:
\n– Update 1
\n– Update 2
\n– Update 3
\n– …<\/p>\n

Schlagw\u00f6rter: Jenkins + Plugins + Schwachstellen<\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell gibt es einige Sicherheitsbedenken in Bezug auf Software-Entwicklungsumgebungen, genauer gesagt in neun Plug-ins des Open-Source-Automationswerkzeugs Jenkins. Aber zum Gl\u00fcck wurden schon einige Sicherheitspatches ver\u00f6ffentlicht, um diese Schwachstellen zu beheben. Von den insgesamt elf identifizierten Schwachstellen wurden zwei als besonders riskant eingestuft. Die erste hochriskante Schwachstelle betrifft das Github-Plug-in (CVE-2023-46650)....<\/p>\n","protected":false},"author":4,"featured_media":774,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-775","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=775"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/775\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/774"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}