Update: Remote Code Execution in Jenkins möglich
- Warnmeldung
© Adobe Stock
Die Warnmeldung wurde am 3. September 2024 aufgrund weiterführender Informationen aktualisiert.
Jenkins-Schwachstellen geschlossen
Die Sicherheitslücke CVE-2024-43044 ist mit einem CVSS-Score von 9.0 als kritisch eingestuft und erhielt den Namen SECURITY-3430. Sie ermöglicht die Ausführung maliziöser Programme (RCE: Remote Code Execution). Außerdem können Angreifende Dateien im Controller-Dateisystem lesen.
Die zweite Schwachstelle CVE-2024-43045 mit dem Score 5.4 ermöglicht Angreifenden, auf Ansichten anderer User zuzugreifen und diese möglicherweise zu ändern.
Betroffen von beiden Schwachstellen sind Jenkins-Versionen bis 2.470 und LTS-Versionen bis 2.452.3. Beide Sicherheitslücken werden mit demselben Patch geschlossen.
Am 29. August 2024 veröffentlichte das IT-Sicherheitsunternehmen Conviso einen detaillierten Analysebericht zu CVE-2024-43044. Darin schildert Conviso sowohl mögliche Angriffswege über die Schwachstelle als auch ein Proof-of-Concept (PoC).
Jenkins ist ein Server-basiertes Open-Source-System zur automatischen Integration von Software-Komponenten.
Empfehlungen
Folgen Sie den Empfehlungen des Herstellers:
- Aktualisieren Sie Jenkins umgehend auf Version 2.471.
- Aktualisieren Sie die LTS-Version umgehend auf 2.452.4 oder 2.462.1.