07.02.2024 10:20

Kritische Sicherheitslücke in JetBrains TeamCity On-Premises

Das Softwareunternehmen JetBrains hat Informationen über eine kritische Sicherheitslücke in JetBrains TeamCity On-Premises veröffentlicht. Eine Ausnutzung der Schwachstelle, CVE-2024-23917, erlaubt unauthentifizierten Angreifer:innen mit HTTP(s)-Zugriff auf eine verwundbare Instanz von TeamCity das Umgehen von Authentifizierungskontrollen und somit die vollständige Übernahme der betroffenen Installation.

Alle Versionen von JetBrains TeamCity On-Premises zwischen den Versionsnummern 2017.1 und 2023.11.2 sind für Angriffe über diese Sicherheitslücke anfällig, die am 30.01.2024 veröffentlichte Version 2023.11.3 behebt das Problem. Benutzer:innen sind dringend angehalten, die neueste Version schnellstmöglich von der Herstellerseite zu beziehen oder sicherzustellen, dass die Aktualisierung über automatisch konfigurierte Updates eingespielt wurde.

Für Fälle, in denen es nicht möglich ist ein Update auf eine neuere Version vorzunehmen hat der Hersteller sogennante "Security Patch Plugins" zur Verfügung gestellt, die die Schwachstelle innerhalb eines Releases beheben. Details dazu finden sich in der Dokumentation der Software.

JetBrains rät Benutzer:innen, die nicht in der Lage sind, eine der mitigierenden Maßnahmen durchzuführen, verwundbare Instanzen schnellstmöglich vom Netzwerk unerreichbar zu machen. Bisher ist keine öffentliche Ausnutzung der Sicherheitslücke bekannt. Jedoch wurden vergangene Schwachstellen in JetBrains TeamCity (beispielsweise CVE-2023-42793) bereits wenige Tage nach bekanntwerden massiv durch Kriminelle missbraucht.