Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic
2025/04/11 gbhackers — Jenkins Docker イメージに影響を及ぼす脆弱性が新たに発見され、ネットワーク・セキュリティに関する深刻な懸念が生じている。この脆弱性は、SSH ホストキーの再利用に起因するものであり、それそ悪用する攻撃者は Jenkins ビルド・エージェントを偽装し、機密性の高いネットワーク・トラフィックを乗っ取る機会を得る。
脆弱性の詳細
この問題のコアは、Debian ベースの “jenkins/ssh-agent”/”jenkins/ssh-slave” Docker イメージの作成時に、SSH ホストキーが自動生成される方法にある。
同じイメージ・バージョンからビルドされる、すべてのコンテナが同一の SSH ホストキーを共有するため、Jenkins コントローラーとビルド・エージェント間の通信を傍受する攻撃者は、エージェントの偽装を可能にする。それにより、機密性の高いトラフィックが攻撃者に公開され、ネットワーク・セキュリティが危険にさらされる。
すでに Jenkins チームは、2つの脆弱性をセキュリティ・アドバイザリで公開している。概要は以下のとおりである。
| CVE ID | Affected Components | Severity | Description |
| CVE-2025-32754 | jenkins/ssh-agent Docker images | Medium | Reuse of SSH host keys allows attackers to impersonate build agents and intercept network traffic. |
| CVE-2025-32755 | Deprecated jenkins/ssh-slave images | Medium | The same vulnerability as CVE-2025-32754, but specific to older, deprecated Docker images. |
影響を受けるバージョン
影響を受けるイメージ・バリアントは次のとおりである。
- jenkins/ssh-agent:
- OS を指定していない -jdk/-jdk/-preview などの全イメージ (2025/4/10以前)
- Debian/Stretch/Bullseye/Bookworm ベースの全イメージ (2025/4/10以前)
- jenkins/ssh-slave (deprecated):
- latest/jdk11/latest-jdk11/revert-22-jdk11-JENKINS-52279 の取り込みで影響を受けるタグ
影響を受けないイメージとしては、Alpine/NanoServer/Windows ベースのjenkins/ssh-agent/jenkins/ssh-slave の全バリアントが挙げられる。
修正
すでに Jenkins プロジェクトは、jenkins/ssh-agent バージョン 6.11.2 をリリースしている。このバージョンでは、イメージ作成時に事前生成された SSH ホストキーを削除することで、この問題に対処している。
コンテナの最初の起動時に、新しいホストキーが生成されるようになる。したがって、 jenkins/ssh-agent Docker イメージを利用するユーザーには、この最新バージョンへの、速やかなアップデートが推奨される。
廃止予定の jenkins/ssh-slave イメージについては、修正は提供されない。適切なセキュリティ・サポートとメンテナンスのために、更新された “jenkins/ssh-agent” イメージへの移行が強く推奨される。
この脆弱性を発見/報告し、プラットフォームのセキュリティ向上に貢献したセキュリティ研究者 Abhishek Reddypalle に対して、Jenkins チームは謝意を示している。
管理者たちに対して強く推奨されるのは、最新の安全なバージョンで、デプロイメントを更新することだ。また、廃止予定のコンフィグに依存している組織は、より適切にメンテナンスされたソリューションへの移行を優先すべきである。
このインシデントが示すのは、コンテナ環境を最新の状態に保つことで、潜在的な脆弱性の悪用を防ぐことの重要性である。
これらの脆弱性の脅威度について、Jenkins のアドバイザリでは Medium (中程度) と評価されていますが、CISA-ADP/GitHub 評価では、どちらの脆弱性とも 9.1 と高い評価がつけられています。このスコア差の理由については、現時点では不明ですが、ご利用のチームは、アップデートを、お急ぎください。また、Jenkins に関しては、2025/04/03 にも「Jenkins の Core/Plugin に複数の脆弱性:アップデートと緩和策の確認が必要」という記事を投稿しています。よろしければ、Jenkins で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.