Dasjenige Bundesamt für jedes Sicherheit in dieser Informationstechnik (BSI) hat am 06.01.2023 ein Update zu einer am 23.06.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für jedes Jenkins hrsg.. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Red Hat OpenShift und Jenkins Jenkins.

Die neuesten Hersteller-Empfehlungen wegen Updates, Workarounds und Sicherheitspatches für jedes welche Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2022:9111 (Stand: 06.01.2023). Weitere nützliche Quellen werden weiter unten in diesem Geschlechtswort aufgeführt.

Mehrere Schwachstellen für jedes Jenkins – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Cousine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Stützpunkt verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen für jedes zusammenführen Sturm (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen darüber hinaus die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Dieser Schweregrad dieser hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,5 qua „mittel“ eingestuft.

Jenkins Programmfehler: Auswirkungen eines IT-Angriffs

Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung nebst Softwareentwicklungen aller Genre.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um Sicherheitsmaßnahmen zu umgehen, beliebigen Quelltext auszuführen, zusammenführen Cross-Site-Scripting-Sturm durchzuführen und Datenmaterial zu verdecken. Die erfolgreiche Nutzbarmachung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2017-2601, CVE-2022-34170, CVE-2022-34171, CVE-2022-34172, CVE-2022-34173, CVE-2022-34174, CVE-2022-34175, CVE-2022-34176, CVE-2022-34177, CVE-2022-34178, CVE-2022-34179, CVE-2022-34180, CVE-2022-34181, CVE-2022-34182, CVE-2022-34183, CVE-2022-34184, CVE-2022-34185, CVE-2022-34186, CVE-2022-34187, CVE-2022-34188, CVE-2022-34189, CVE-2022-34190, CVE-2022-34191, CVE-2022-34192, CVE-2022-34193, CVE-2022-34194, CVE-2022-34195, CVE-2022-34196, CVE-2022-34197, CVE-2022-34198, CVE-2022-34199, CVE-2022-34200, CVE-2022-34201, CVE-2022-34202, CVE-2022-34203, CVE-2022-34204, CVE-2022-34205, CVE-2022-34206, CVE-2022-34207, CVE-2022-34208, CVE-2022-34209, CVE-2022-34210, CVE-2022-34211, CVE-2022-34212 und CVE-2022-34213.

Von dieser Jenkins-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
UNIX, Linux, Windows

Produkte
Red Hat OpenShift (cpe:/a:redhat:openshift)
Jenkins Jenkins weekly < 2.356 (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins LTS < 2.332.4 (cpe:/a:cloudbees:jenkins)
Jenkins Jenkins LTS < 2.346.1 (cpe:/a:cloudbees:jenkins)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Nutzer dieser betroffenen Anwendungen sollten welche gen dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Schöpfung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie welche zeitnah.

2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Teilbereich aufgeführten Quellen. Vielmals enthalten welche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen darüber hinaus Programmfehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2022:9111 vom 2023-01-06 (06.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:9111

Red Hat Security Advisory RHSA-2022:6531 vom 2022-09-21 (22.09.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:6531

Jenkins Security Advisory vom 2022-06-22 (23.06.2022)
Weitere Informationen finden Sie unter: https://www.jenkins.io/security/advisory/2022-06-22/

Versionshistorie dieser Sicherheitswarnung

Dies ist die 3. Version des vorliegenden IT-Sicherheitshinweises für jedes Jenkins. C/o Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie per dieser folgenden Versionshistorie wiederholen.

23.06.2022 – Initiale Halterung
22.09.2022 – Neue Updates von Red Hat aufgenommen
06.01.2023 – Neue Updates von Red Hat aufgenommen

+++ Redaktioneller Rauchsignal: Dieser Text wurde gen Stützpunkt aktueller BSI-Datenmaterial KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Gehorchen Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de