Alert!

Sicherheitsupdates: Viele Jenkins-Plug-ins als Schlupflöcher für Angreifer

Software-Entwickler aufgepasst: Lücken in Plug-ins für den Automation-Server Jenkins geschlossen. Etliche Patches lassen aber noch auf sich warten.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: AFANASEV IVAN/Shutterstock.com)

Von
  • Dennis Schirrmacher

Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren. Der Grund dafür sind Sicherheitslücken in mehreren Plug-ins. Sind Attacken erfolgreich, könnte im schlimmsten Fall Schadcode auf Systeme gelangen.

Elf der 33 geschlossenen Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. So könnten Angreifer etwa an einer Lücke (CVE-2022-34784) in build-metrics Plug-in ansetzen und über eine XSS-Attacke (stored) dauerhaft Schadcode hinterlegen. Diese Auswirkung trifft auch auf den Großteil der verbleibenden Lücken zu. Außerdem könnten Angreifer auf Passwörter im Klartext zugreifen.

Diese Plug-ins sind betroffen:

  • Build Notifications Plugin bis einschließlich 1.5.034
  • build-metrics Plugin bis einschließlich 1.3
  • Cisco Spark Plugin bis einschließlich 1.1.1
  • Deployment Dashboard Plugin bis einschließlich 1.0.10
  • Elasticsearch Query Plugin bis einschließlich 1.2
  • eXtreme Feedback Panel Plugin bis einschließlich 2.0.1
  • Failed Job Deactivator Plugin bis einschließlich 1.2.1
  • GitLab Plugin bis einschließlich 1.5.34
  • HPE Network Virtualization Plugin bis einschließlich 1.0
  • Jigomerge Plugin bis einschließlich 0.9
  • Matrix Reloaded Plugin bis einschließlich 1.1.3
  • OpsGenie Plugin bis einschließlich 1.9
  • Plot Plugin bis einschließlich 2.1.10
  • Project Inheritance Plugin bis einschließlich 21.04.03
  • Recipe Plugin bis einschließlich 1.2
  • Request Rename Or Delete Plugin bis einschließlich 1.1.0
  • requests-plugin Plugin bis einschließlich 2.2.16
  • Rich Text Publisher Plugin bis einschließlich 1.4
  • RocketChat Notifier Plugin bis einschließlich 1.5.2
  • RQM Plugin bis einschließlich 2.8
  • Skype notifier Plugin bis einschließlich 1.1.0
  • TestNG Results Plugin bis einschließlich 554.va4a552116332
  • Validating Email Parameter Plugin bis einschließlich 1.10
  • XebiaLabs XL Release Plugin bis einschließlich 22.0.0
  • XPath Configuration Viewer Plugin bis einschließlich 1.1.1

Bislang sind einer Warnmeldung zufolge nur die abgesicherte Versionen GitLab 1.5.35, requests-plugin 2.2.17, TestNG Results 555.va0d5f66521e3 und Xebia Labs XL Release 22.0.1 erschienen. Wann die anderen abgesicherten Ausgaben folgen, ist bislang unklar.

(des)