Update: Remote Code Execution in Jenkins möglich

- Warnmeldung

In der Software Jenkins wurden zwei Sicherheitslücken geschlossen, darunter eine kritische. Durch diese könnten Angreifende bösartige Programme ausführen. Sicherheits-Updates sind verfügbar.
Mensch arbeitet an Computer und anaylsiert Daten

© Adobe Stock

Die Warnmeldung wurde am 3. September 2024 aufgrund weiterführender Informationen aktualisiert. 

Jenkins-Schwachstellen geschlossen

Die Sicherheitslücke CVE-2024-43044 ist mit einem CVSS-Score von 9.0 als kritisch eingestuft und erhielt den Namen SECURITY-3430. Sie ermöglicht die Ausführung maliziöser Programme (RCE: Remote Code Execution). Außerdem können Angreifende Dateien im Controller-Dateisystem lesen.

Die zweite Schwachstelle CVE-2024-43045 mit dem Score 5.4 ermöglicht Angreifenden, auf Ansichten anderer User zuzugreifen und diese möglicherweise zu ändern.

Betroffen von beiden Schwachstellen sind Jenkins-Versionen bis 2.470 und LTS-Versionen bis 2.452.3. Beide Sicherheitslücken werden mit demselben Patch geschlossen.

Am 29. August 2024 veröffentlichte das IT-Sicherheitsunternehmen Conviso einen detaillierten Analysebericht zu CVE-2024-43044. Darin schildert Conviso sowohl mögliche Angriffswege über die Schwachstelle als auch ein Proof-of-Concept (PoC).

Jenkins ist ein Server-basiertes Open-Source-System zur automatischen Integration von Software-Komponenten.

Empfehlungen

Folgen Sie den Empfehlungen des Herstellers:

  • Aktualisieren Sie Jenkins umgehend auf Version 2.471.
  • Aktualisieren Sie die LTS-Version umgehend auf 2.452.4 oder 2.462.1.