CVE-2024-43044: Critical Jenkins Vulnerability Exposes Servers to RCE Attacks
2024/08/07 SecurityOnline — 今日のことだが、OSS として人気を誇る自動化サーバ Jenkins に、2件の脆弱性が発見され、緊急アドバイザリが発表された。これらの脆弱性 CVE-2024-43044/CVE-2024-43045 が悪用されると、任意のファイル読み取りおよび不正アクセスのリスクに、Jenkins インスタンスがさらされることになる。
CVE-2024-43044 (深刻度:Critical)
エージェント接続を介した任意のファイル読み取りの脆弱性により、RCE にいたる可能性が生じる。
この脆弱性 CVE-2024-43044 の悪用に成功した攻撃者は、Jenkins コントローラ上でリモートから任意のコードを実行できるようになる。この脆弱性は、Jenkins コントローラとエージェントの間の通信で使用される、Remoting ライブラリの欠陥に起因する。この欠陥を悪用に成功した攻撃者は、Jenkins コントローラのファイル・システムから任意のファイルの読み取りを達成し、機密性の高いコンフィグ・データや認証情報に、あるいは、ソースコードにアクセスする可能性を得る。この脆弱性の潜在的な影響は大きく、Jenkins インスタンスと関連ビルド・プロセスの完全に制御を、攻撃者に許す可能性が生じる。
CVE-2024-43045 (深刻度:Medium)
パーミッション・チェックの欠落により、他のユーザーの “My Views” へのアクセスが可能になる。
2つ目の脆弱性 CVE-2024-43045 は、Jenkins のパーソナライズされたダッシュボードである、ユーザーの “My Views” への不正アクセスを許すものである。この脆弱性の悪用に成功した攻撃者により、機密情報の暴露や、ビューを変更が可能になり得る。それにより、ワークフローの中断や混乱が、引き起こされる可能性が生じる。クリティカルな RCE 脆弱性ほど深刻ではないが、この問題により、Jenkins ユーザー・データのプライバシーと完全性は、深刻なリスクに直面する。
影響を受けるバージョンと対処法
Jenkins のバージョン 2.470 (weekly) および 2.452.3 (LTS) が、これらの脆弱性の影響を受ける。すでに Jenkins は、これらの問題に対処するバージョン 2.471 (weekly) および、2.452.4/2.462.1 (LTS) をリリースしている。すべての Jenkins ユーザーに対して強く推奨されるのは、ただちにアップデートを行い、悪用のリスクを軽減することだ。
Jenkins の2件の脆弱性が FIX しましたが、1つ目の CVE-2024-43044 は危なそうですね。ご利用のチームは、十分に ご注意ください。よろしければ、Jenkins で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.