High-Severity Jenkins Vulnerability Allows Unauthenticated DoS via HTTP CLI
2025/12/11 CyberSecurityNews — Jenkins が発表したのは、数百万の組織に影響を与える深刻なサービス拒否 (DoS) 脆弱性に対処するパッチである。この脆弱性 CVE-2025-67635 は、CI/CD (Continuous Integration and Continuous Deployment) パイプラインに広く利用される Jenkins の自動化サーバを利用する組織に対して深刻な影響を与える。その影響が及ぶ範囲は、Jenkins バージョン 2.540 以下 (LTS 2.528.2 以下) となる。
脆弱性の概要
この脆弱性は、Jenkins の接続管理ロジックにおいて、HTTP CLI ストリームが破損した場合の不適切な処理に起因する。この脆弱性を悪用する未認証の攻撃者は、HTTP ベースの CLI (Command-Line Interface) を介してサービス拒否攻撃を仕掛け、サーバ・リソースを枯渇させる可能性がある。
具体的に言うと、HTTP ベースの CLI 接続ストリームが破損した場合に、アプリケーションによる接続が適切に終了されない状況にある。
| Attribute | Value |
|---|---|
| CVE ID | CVE-2025-67635 |
| Vendor / Project | Jenkins |
| Vulnerability Type | Denial of Service (DoS) via HTTP-based CLI |
| CVSS Base Score | High |
| CVSS Vector | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Attack Vector | Network (HTTP-based CLI) |
| Description | Improper closing of corrupted HTTP-based CLI connections allows unauthenticated DoS by exhausting threads. |
この問題を悪用する攻撃者は、特別に細工した接続リクエストを送信し、リクエスト処理スレッドを無期限に待機させることが可能だ。それによりリソースが事実上凍結され、正当なトラフィックが処理されなくなる。
この脆弱性の悪用において認証は必要とされず、ネットワーク経由のリモート悪用の可能性があるため、信頼できないネットワークやパブリック・インターネットに公開されている Jenkins インストールは、すでにリスクに直面している。
攻撃者は、この接続リクエストを繰り返して送信し、サーバが応答しなくなるまでスレッドを蓄積し続ける可能性がある。
ユーザー組織にとって必要なことは、Jenkins 2.541 または LTS 2.528.3 へと、速やかにアップグレードすることだ。これらのバージョンには、ストリーム破損発生時において、HTTP ベースの CLI 接続を適切に閉じるパッチが含まれる。
修正されたバージョンは、通常のリソース・クリーンアップを復元し、スレッド枯渇攻撃の阻止に対応している。
セキュリティ・チームにとって必要なことは、すべての Jenkins デプロイメントに対して、特にインターネットに接続されたインスタンスに対して、パッチを優先して適用することだ。
それに加えて、システムを監視し、異常な接続パターンやスレッド数の異常も確認すべきである。これらの異常は、アクティブなエクスプロイト試行を示唆する可能性がある。
この問題の根本的な原因は、Jenkins の接続管理ロジックにあります。具体的に言うと、HTTP ベースの CLI (Command-Line Interface) 接続ストリームが途中で壊れた場合に、アプリケーションによる接続が適切に終了されない状況にあります。その結果として、サーバのリソースである処理スレッドが解放されずに溜まり続け、最終的に正規の処理ができなくなってしまいます。認証を必要とすることなく、外部から悪用される脆弱性ですので、速やかなアップデートが必要です。ご利用のチームは、ご注意ください。よろしければ、Jenkins での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.