25.01.2024 16:30

Potentielle Remote Code Execution in Jenkins - Patch verfügbar

Mit der neuesten Version der CI/CD-Plattform Jenkins haben die Entwickler:innen neun Sicherheitslücken behoben - darunter befindet sich auch eine kritische Schwachstelle, CVE-2024-23897. Dabei handelt es sich um ein Problem mit dem integrierten Kommandozeilen-Interface:

Jenkins uses the args4j library to parse command arguments and options on the Jenkins controller when processing CLI commands. This command parser has a feature that replaces an @ character followed by a file path in an argument with the file’s contents (expandAtFiles). This feature is enabled by default and Jenkins 2.441 and earlier, LTS 2.426.2 and earlier does not disable it.

Die Ausnützung dieser Schwachstelle erlaubt Angreifer:innen unter gewissen Bedingungen die entfernte Ausführung von Code mit administrativen Rechten. Details dazu finden sich in dem von Jenkins veröffentlichten Advisory.

Leider widerspricht das Advisory in einem kritischen Punkt der offiziellen Dokumentation des Projektes, laut derer das Interface zu der Kommandozeile standardmässig nicht aktiviert ist. Unabhängig davon empfehlen wir, die zur Verfügung stehenden Aktualisierungen schnellstmöglich einzuspielen.