Security Vulnerabilities Uncovered in Jenkins: Immediate Updates Recommended
2024/10/03 SecurityOnline — Jenkins で発見された、複数の脆弱性に対するセキュリティ・アドバイザリが発行され、ユーザーに対して迅速なアップデートが促されている。これらの脆弱性の悪用に成功した攻撃者は、機密データの窃取やセキュリティ制限を回避と達成し、Jenkins サーバを完全に制御する可能性を手にする。
最も深刻な脆弱性は、以下のとおりである。
CVE-2024-47803:この脆弱性により、API キーやパスワードなどのシークレットが、エラー・メッセージを介して公開される。それらの情報については、システム・ログを介したアクセスが可能であり、攻撃者に対して認証情報へのアクセスを許す恐れが生じる。
CVE-2024-47804:この脆弱性の悪用に成功した攻撃者は、アイテム作成制限を回避してテンポラリ・アイテムを作成し、そこの権限を追加することで、アイテムの永続化と不正アクセスを手にする。
CVE-2024-47805:この脆弱性が “Extended Read” を持つユーザーに悪用されると、暗号化された認証情報が漏洩し、証明書や秘密ファイルなどの機密情報が公開される可能性が生じる。
CVE-2024-47806/CVE-2024-47807:OpenID Connect 認証プラグインに脆弱性が存在し、ID トークンの重要なクレームを検証できないという問題がある。この見落としを悪用する攻撃者は、認証をバイパスし、Jenkins サーバの管理者アクセス権を取得する可能性を手にする。
Jenkins プロジェクトが、ユーザーに対して強く推奨するのは、以下のバージョンへのアップデートである:
- Jenkins weekly: 2.479
- Jenkins LTS: 2.462.3
- Credentials Plugin: 1381.v2c3a_12074da_b_
- OpenID Connect Authentication Plugin: 4.355.v3a_fb_fca_b_96d4
これらの脆弱性が放置されると、不正アクセス/機密データの漏洩/Jenkins インスタンスの乗っ取りなどの、深刻なセキュリティ・リスクがもたらされる。ただちに対処し、Jenkins 環境を保護する必要がある。
詳細については、公式の Jenkins セキュリティ・アドバイザリを参照し、それに従ってシステムを更新してほしい。
Jenkins のアドバイザリを見ると、CVE-2024-47806/CVE-2024-47807 が High と評価され、その他は Medium となっていました。前回の脆弱性に関する情報は、2024/09/01 の「Jenkins の RCE 脆弱性 CVE-2024-43044 が FIX:PoC も提供される」です。今回の脆弱性ですが、危険な状態になる前に、パッチを適用してください。よろしければ、Jenkins で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.