Af Eskil Sørensen, 29/01/24
Der er fundet en række sårbarheder i Jenkins og samt nogle af de plugins, der kan bruges med Jenkins.
Det skriver The Hacker News m.fl.
Den mest kritiske sårbarhed har id’et CVE-2024-23897 og en CVSS-score på 9.8. Den beskrives som en ’arbitrary file read’, som i realiteten gør det muligt for en angriber at afvikle kode fra ’remote’. I alt er der registreret 11 CVE’er, hvoraf seks er over scoren 7,1, dvs. de har betegnelsen alvorlige.
De berørte produkter er følgende:
- Jenkins weekly 2.441
- Jenkins LTS 2.426.2
- Jenkins Git server Plugin 99.va_0826a_b_cdfa_d
- Jenkins Matrix Project Plugin 822.v01b_8c85d16d2
- Jenkins GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3
- Jenkins Qualys Policy Compliance Scanning Connector Plugin 1.0.5
- Jenkins Red Hat Dependency Analytics Plugin 0.7.1
- Jenkins Log Command Plugin 1.0.2
Det anbefales, at Jenkins-produkter opdateres.
Jenkins er en Java-baseret open source-automatiseringsplatform. Til denne er der udviklet en række plugins designet til kontinuerlig integration. Det bruges til løbende at udvikle og teste softwareprojekter.
Links:
https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html