Kritisk sårbarhet i Jenkins

Sårbarhet Jenkins

Två sårbarheter har rättats i Jenkins varav en är kritisk. Jenkins är byggd på öppen källkod och kan användas för att automatisera processer kopplade till olika steg i utvecklingen av programvara. [1]

Den kritiska sårbarheten (CVE-2024-43044, CVSS-klassificering 9,0) orsakas av en brist i biblioteket Remoting som används för kommunikation mellan kontrollservern och klienterna (agents). Den kan utnyttjas av en angripare för att läsa valfria filer på kontrollservern och därigenom eskalera behörigheter till en nivå som möjliggör fjärrkörning av kod (RCE).

Påverkade produkter

Jenkins 2.470 eller tidigare
Jenkins LTS 2.452.3 eller tidigare

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara system så snart som möjligt. Enligt utvecklarna bör sårbara kontrollservrar prioriteras. I de fall detta inte är möjligt erbjuder utvecklarna en mildrande åtgärd som inaktiverar viss funktionalitet. [1]

Som en del i härdningen av it-miljön bör it-säkerhetsansvariga ta ställning till om denna typ av programvara behöver vara tillgänglig via internet.

Källor

[1] https://www.jenkins.io/security/advisory/2024-08-07/