Açık kaynak geliştirme aracı Jenkins'te çeşitli güvenlik açıkları keşfedildi. Geliştiriciler güncel yazılımlarla güvenlik açıklarını kapatıyor. BT yöneticileri güncellemeleri hızla uygulamalıdır.
Duyuru
Güvenlik danışma belgesinde Jenkins geliştiricileri, savunmasız üç eklentiyi listeliyor. En ciddi güvenlik açığı Simple Queue eklentisinde yatıyor. Görüşlerin adlarından kaçmaz. Bu, “Görüntüleme/Oluşturma” haklarına sahip saldırganların kötüye kullanabileceği, depolanmış bir siteler arası komut dosyası çalıştırma güvenlik açığıyla sonuçlanır (CVE-2024-54003, CVSS) 8.0“Risk”yüksek“). Hata, eklenti sürümü 1.4.5 ve üzeri ile düzeltildi.
Diğer Jenkins güvenlik açıkları
Dahil edilen json-lib kütüphanesinde hizmet reddi güvenlik açığı bulunmaktadır. LTS 2.479.1 ve 2.486 ve önceki sürümlerle birlikte gelen Jenkins sürümleri org.kohsuke.stapler:json-lib Geliştiriciler sızıntıdan etkilenip etkilenmediğini tartışıyor. Bu, Global/Okuma iznine sahip saldırganların HTTP isteklerini işleyen iş parçacıklarını meşgul tutmasına, sistem kaynaklarını tüketmesine ve başkalarının Jenkins'i kullanmasını engellemesine olanak tanır. Bazı eklentiler “Tümü/Oku” izni olmadan bile bu tür saldırılara izin verir (CVE-2024-47855, CVSS 7.5, yüksek). Jenkins LTS 2.479.2 ve 2.487 ve üzeri, sabit bir sürüme sahiptir org.kohsuke.stapler:json-lib dahil.
Son olarak, Dosya Sistemi Listesi Parametreleri eklentisinde bir yol geçiş güvenlik açığı bulunmaktadır. Bu, “Öğe/Yapılandırma” haklarına sahip saldırganların Jenkins denetleyici dosya sistemindeki (CVE-2024-54004, CVSS) dosyaları listelemesine olanak tanır 4.3, orta). Eklenti sürümü 0.0.15 hatayı düzeltir.
Yaklaşık iki hafta önce Jenkins geliştiricileri yedi güvenlik açığını bile kapattı. Çoğunun yüksek riskli olduğu değerlendirildi. Jenkins sunucularına yönelik saldırılar bu yılın Ağustos ayı civarında gözlemlendiğinden, yöneticilerin tereddüt etmemesi ve mevcut güncellemeleri derhal uygulaması gerekir.
(Bilmiyorum)
Duyuru
Güvenlik danışma belgesinde Jenkins geliştiricileri, savunmasız üç eklentiyi listeliyor. En ciddi güvenlik açığı Simple Queue eklentisinde yatıyor. Görüşlerin adlarından kaçmaz. Bu, “Görüntüleme/Oluşturma” haklarına sahip saldırganların kötüye kullanabileceği, depolanmış bir siteler arası komut dosyası çalıştırma güvenlik açığıyla sonuçlanır (CVE-2024-54003, CVSS) 8.0“Risk”yüksek“). Hata, eklenti sürümü 1.4.5 ve üzeri ile düzeltildi.
Diğer Jenkins güvenlik açıkları
Dahil edilen json-lib kütüphanesinde hizmet reddi güvenlik açığı bulunmaktadır. LTS 2.479.1 ve 2.486 ve önceki sürümlerle birlikte gelen Jenkins sürümleri org.kohsuke.stapler:json-lib Geliştiriciler sızıntıdan etkilenip etkilenmediğini tartışıyor. Bu, Global/Okuma iznine sahip saldırganların HTTP isteklerini işleyen iş parçacıklarını meşgul tutmasına, sistem kaynaklarını tüketmesine ve başkalarının Jenkins'i kullanmasını engellemesine olanak tanır. Bazı eklentiler “Tümü/Oku” izni olmadan bile bu tür saldırılara izin verir (CVE-2024-47855, CVSS 7.5, yüksek). Jenkins LTS 2.479.2 ve 2.487 ve üzeri, sabit bir sürüme sahiptir org.kohsuke.stapler:json-lib dahil.
Son olarak, Dosya Sistemi Listesi Parametreleri eklentisinde bir yol geçiş güvenlik açığı bulunmaktadır. Bu, “Öğe/Yapılandırma” haklarına sahip saldırganların Jenkins denetleyici dosya sistemindeki (CVE-2024-54004, CVSS) dosyaları listelemesine olanak tanır 4.3, orta). Eklenti sürümü 0.0.15 hatayı düzeltir.
Yaklaşık iki hafta önce Jenkins geliştiricileri yedi güvenlik açığını bile kapattı. Çoğunun yüksek riskli olduğu değerlendirildi. Jenkins sunucularına yönelik saldırılar bu yılın Ağustos ayı civarında gözlemlendiğinden, yöneticilerin tereddüt etmemesi ve mevcut güncellemeleri derhal uygulaması gerekir.
(Bilmiyorum)