Dasjenige Bundesamt zu Gunsten von Sicherheit in jener Informationstechnik (BSI) hat am 02.05.2024 vereinen Sicherheitshinweis zu Gunsten von Jenkins gemeldet. Die Software enthält mehrere Schwachstellen, die von Angreifern ausgenutzt werden können. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie dasjenige Produkt Jenkins Jenkins.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches zu Gunsten von sie Sicherheitslücke finden Sie hier: Jenkins Security Advisory (Stand: 02.05.2024).

Mehrere Schwachstellen zu Gunsten von Jenkins gemeldet – Risiko: hoch

Risikostufe: 5 (hoch)
CVSS Cousine Score: 8,8
CVSS Zeitlich Score: 7,7
Remoteangriff: Ja

Zur Priorisierung des Schweregrads von Schwachstellen in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Lager verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Cousine Score bewertet die Voraussetzungen zu Gunsten von vereinen Übergriff (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen weiterführend die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Dasjenige Risiko jener aktuellen Schwachstelle wird nachdem dem CVSS mit einem Cousine Score von 8,8 qua „hoch“ eingeschätzt.

Jenkins Programmierfehler: Zusammenfassung jener bekannten Schwachstellen

Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung im Rahmen Softwareentwicklungen aller Verfahren.

Ein Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um beliebigen Schlüssel im Kontext des Dienstes auszuführen, Sicherheitsmaßnahmen zu umgehen oder vertrauliche Informationen offenzulegen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2024-34144, CVE-2024-34145, CVE-2024-34146, CVE-2024-34147 und CVE-2024-34148.

Von jener Jenkins-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX, Windows

Produkte
Jenkins Jenkins Git server Plugin <117.veb_68868fa_027 (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins Script Security Plugin <1336.vf33a_a_9863911 (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins Subversion Partial Release Manager Plugin <=1.0.1 (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins Telegram Bot Plugin <=1.4.0 (cpe:/a:cloudbees:jenkins)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Benützer jener betroffenen Systeme sollten sie uff dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. X-fach enthalten sie weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen weiterführend Programmierfehler-Reports, Security-Fixes und Workarounds.

Jenkins Security Advisory vom 2024-05-02 (02.05.2024)
Weitere Informationen finden Sie unter: https://www.jenkins.io/security/advisory/2024-05-02/

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises zu Gunsten von Jenkins. Im Rahmen Publikation von Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Einsatz von jener folgenden Versionshistorie wiederholen.

02.05.2024 – Initiale Halterung

+++ Redaktioneller Tabelle: Dieser Text wurde uff Lager aktueller BSI-Statistik generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Gehorchen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
kns/roj/news.de