Hoppa yfir valmynd

Alvarlegur veikleiki í Jenkins

26. jan. 2024

Tilkynnt var um alvarlegan veikleika í CLI hjá Jenkins. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður. Þeir sem ekki hafa tök á því að uppfæra er bent á að slökkva á skipanalínu viðmóti (e. Command line interface).  

CVE-2024-23897


Veikleikinn CVE-2024-23897 gerir óauðkenndum ógnaraðila kleift að lesa skrár á Jenkins skráakerfinu í gegnum skipanalínu viðmótið (e. Command line interface). Ógnaraðili getur nýtt upplýsingar úr ákveðnum skrám til frekari árásir eins og fjarkeyrslu kóða (e. Remote code execution) [1]

Eftirfarandi kerfi er veikt fyrir gallanum:

Jenkins: < 2.442


Veikleikinn hefur verið lagfærður í eftirfarandi útgáfu:

Jenkins: 2.442


Tilvísanir:

[1] https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html