Jenkins Users Beware: Multiple Security Vulnerabilities Discovered
2024/11/27 SecurityOnline — Jenkins が発行したのは、コア・システムとプラグインに影響を及ぼす、複数の脆弱性に対処するためのセキュリティ・アドバイザリである。それらの、サービス拒否やクロス・サイト・スクリプティングの脆弱性を放置すると、広く使用されている OSS 自動化サーバ Jenkins のユーザーに、重大なリスクが生じる可能性がある。
JSON 処理によるサービス拒否の脆弱性:CVE-2024-47855
Jenkins の JSON 処理ライブラリで、サービス拒否の脆弱性 CVE-2024-47855 (CVSS:7.5) が特定された。アドバイザリには、「Jenkins の脆弱性を悪用する、”Overall/Read” 権限を持つ攻撃者が、HTTP リクエスト処理スレッドを無期限にビジー状態にし、システム・リソースの浪費を達成できる。それにより、正当なユーザーによる Jenkins 使用を阻止できる」と記載されている。つまり、悪意の攻撃者が、Jenkins インスタンスを事実上シャットダウンし、重要な開発パイプラインを中断し、大幅なダウンタイムを引き起こす可能性を手にする。
このアドバイザリには、「さらに心配なことに、Jenkins セキュリティ・チームは、”Overall/Read” 権限を持たない攻撃者であっても、同じことを実行できようになる、複数のプラグインを特定した。これらのプラグインには、SonarQube Scanner と Bitbucket が含まれる。それにより、攻撃対象領域が拡大し、これらのプラグインをインストールしている Jenkins ユーザーのリスクが増大する」と強調されている。
Simple Queue プラグインの蓄積型 XSS の脆弱性:CVE-2024-54003
Simple Queue プラグインで、重大度の高い蓄積型 XSS 脆弱性 (CVSS:8.0) が発見された。この脆弱性により、”View/Create” 権限を持つ攻撃者は、悪意のスクリプトを挿入して他ユーザーが実行させ、データの盗難/セッションの乗っ取りに加えて、さらなるシステム侵害を引き起こす可能性を手にする。
Filesystem List Parameter プラグインのパス・トラバーサルの脆弱性:CVE-2024-54004
Filesystem List Parameter プラグインには、”Item/Configure” 権限を持つ攻撃者に対して、”Jenkins コントローラ・ファイル・システム上のファイル名の列挙を許す、脆弱性 (CVSS 4.3) も含まれている。この脆弱性の重大度は Medium と評価されているが、さらなる攻撃のための貴重な情報を、攻撃者に提供する可能性が生じる。
緩和策と修復
すでに Jenkins は、更新バージョンをリリースし、これらの脆弱性に対処しているユーザーに対して強く推奨されるのは、最新バージョンへの速やかなアップグレードである。
- Jenkins weekly: Update to version 2.487
- Jenkins LTS: Update to version 2.479.2
- Filesystem List Parameter Plugin: Update to version 0.0.15
- Simple Queue Plugin: Update to version 1.4.5
このアドバイザリが強調するのは、「これらのバージョンには、上記の脆弱性に対する修正が含まれている。特に明記されていない限り、以前のバージョンの全てが、これらの脆弱性の影響を受けるものと見なされる」という点だ。
自動化のニーズに対して Jenkins を利用する組織においては、CI/CD パイプラインのセキュリティと整合性を確保するために、これらの更新を優先する必要がる。
Jenkins のコア・システムとプラグインの、複数の脆弱性が FIX しました。プラグインの利用状況に応じて、問題の出方が変化するようなので、ご注意ください。よろしければ、Jenkins で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.