zurück zum Artikel

Viele Lücken im Software-System Jenkins entdeckt – und noch nicht geschlossen

Dennis Schirrmacher

(Bild: Artur Szczybylo/Shutterstock.com)

Entwickler sollten ihre Jenkins-Umgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Viele Updates sind jedoch noch nicht verfügbar.

Wer das Software-System Jenkins zur Entwicklung einsetzt, sollte die aktuelle Sicherheitswarnung der Entwickler genaustens studieren. Dort gibt es Informationen zu kürzlich entdeckten Sicherheitslücken und Patches. Einige Sicherheitsupdates lassen aber noch auf sich warten.

Jenkins ist ein Automation-Server, mit dem man verschiedene Aufgaben beim Erstellen und Testen von Software automatisieren kann.

Wie man dem Beitrag entnehmen kann [1], ist der Großteil der Lücken mit dem Bedrohungsgrad "mittel" eingestuft. Die Schwachstellen betreffen Jenkins selbst, aber auch einige Plug-ins. Unter anderem eine Lücke (CVE-2022-20617) im Docker Commons Plug-in ist mit "hoch" eingestuft. Hier könnten Angreifer mit bestimmten Rechten nach erfolgreichen Attacken eigene Kommandos ausführen. Die Version 1.18 ist gegen solche Angriffe abgesichert.

Setzen Angreifer am Debian Package Builder Plug-in bis einschließlich Version 1.6.11 an, könnten sie ebenfalls eigene Befehle ausführen (CVE-2022-23118 "hoch"). Dafür gibt es bislang noch keinen Sicherheitspatch. Wann das so weit sein soll, ist derzeit unbekannt.

Weitere Informationen zu den Lücken und Sicherheitsupdates kann man in der Warnmeldung nachlesen [2].

(des [3])


URL dieses Artikels:
https://www.heise.de/-6326362

Links in diesem Artikel:
[1] https://www.jenkins.io/security/advisory/2022-01-12/
[2] https://www.jenkins.io/security/advisory/2022-01-12/
[3] mailto:des@heise.de