zurück zum Artikel

Sicherheitsupdates: Jenkins und mehrere Plugins angreifbar

Sicherheitsupdates: Jenkins und mehrere Plugins angreifbar

(Bild: American Advisors Group, CC BY 2.0 )

In Jenkins klaffen mehrere Sicherheitslücken. Unter Umständen könnten Angreifer diese zur Ausführung von Schadcode missbrauchen. Es gibt Sicherheitsupdates – eine Lücke bleibt aber vorerst offen.

Sicherheitsupdates für Jenkins (weekly und LTS) und die Plugins Maven und Swarm Client schließen zehn Schwachstellen. Das Plugin Speak! bleibt verwundbar – ein Sicherheitspatch steht noch aus. Keine Lücke gilt als kritisch. Drei sind mit dem Bedrohungsgrad "hoch" eingestuft. Das geht aus der offiziellen Sicherheitswarnung[1] hervor. Das CERT Bund stuft[2] das Risiko insgesamt als "hoch" ein.

Bei Jenkins handelt es sich um ein webbasiertes Softwaresystem zum fortlaufenden Zusammenfügen von Komponenten zu einer Anwendung.

Von den Lücken sollen alle Ausgaben von Jenkins betroffen sein. Abgesichert sind die Ausgaben 2.84 (weekly) und 2.73.2 (LTS). Das Maven-Plugin ist der in der abgesicherten Version 3.0 und Swarm in Version 3.5 erschienen. Für Speak! gibt es noch keine fehlerbereinigte Ausgabe und das Plugin könnte als Einfallstor für Schadcode dienen. Derzeit wird es nicht mehr verbreitet. Wann es eine abgesicherte Version gibt, ist gegenwärtig nicht bekannt.

Nutzen Angreifer die anderen Lücken aus, können sie unter anderem DoS- und Man-in-the.Middle-Attacken ausführen und Informationen erschnüffeln. (des[3])


URL dieses Artikels:
http://www.heise.de/-3864651

Links in diesem Artikel:
[1] https://jenkins.io/security/advisory/2017-10-11/
[2] https://www.cert-bund.de/advisoryshort/CB-K17-1737
[3] mailto:des@heise.de