Dasjenige Bundesamt zum Besten von Sicherheit in dieser Informationstechnik (BSI) hat am 21.02.2023 ein Update zu einer am 07.10.2021 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zum Besten von Jenkins veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Red Hat Enterprise Linux, Jenkins Jenkins und Red Hat OpenShift.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches zum Besten von welche Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2023:0769 (Stand: 21.02.2023). Weitere nützliche Sinister werden weiter unten in diesem Verpflichtung aufgeführt.

Mehrere Schwachstellen zum Besten von Jenkins – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung dieser Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Fundament verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen zum Besten von verknüpfen Übergriff (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen darüber hinaus die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dasjenige Risiko dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,5 qua „mittel“ eingestuft.

Jenkins Softwarefehler: Erläuterung des Angriffs

Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung im Rahmen Softwareentwicklungen aller Typ.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Dateien zu vertuschen oder verknüpfen Cross-Site-Scripting-Übergriff durchzuführen.

Die Verwundbarkeit wird mit den individuellen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2014-3577, CVE-2021-21682, CVE-2021-21683 und CVE-2021-21684 gehandelt.

Von dieser Jenkins-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Jenkins Jenkins plugins (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins < 2.315 (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins < LTS 2.303.2 (cpe:/a:cloudbees:jenkins)
Red Hat OpenShift Container Platform 4.12 (cpe:/a:redhat:openshift)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. User dieser betroffenen Systeme sollten welche aufwärts dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Erschaffung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie welche zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Teilbereich aufgeführten Quellen. X-mal enthalten welche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen darüber hinaus Softwarefehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2023:0769 vom 2023-02-21 (21.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0769

Red Hat Security Advisory RHSA-2022:0056 vom 2022-03-10 (11.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0056

Red Hat Security Advisory RHSA-2022:0055 vom 2022-03-10 (11.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0055

Jenkins Security Advisory vom 2021-10-06 (07.10.2021)
Weitere Informationen finden Sie unter: https://www.jenkins.io/security/advisory/2021-10-06/

Versionshistorie dieser Sicherheitswarnung

Dies ist die 4. Version des vorliegenden IT-Sicherheitshinweises zum Besten von Jenkins. Zwischen Kundgabe weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

07.10.2021 – Initiale Halterung
08.10.2021 – Verweis(en) aufgenommen: 2011949
11.03.2022 – Neue Updates von Red Hat aufgenommen
21.02.2023 – Neue Updates von Red Hat aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde aufwärts Fundament aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de