Jenkins Docker görüntülerini etkileyen yeni açıklanan bir güvenlik açığı, ağ güvenliği konusunda ciddi endişeler yarattı.
SSH ana bilgisayar anahtarlarının yeniden kullanılmasından kaynaklanan güvenlik açığı, saldırganların Jenkins’i taklit etmesine ve duyarlı ağ trafiğini kaçırmasına izin verebilir.
Güvenlik Açığı Detayları
Temel sorun, Debian merkezli Jenkins/SSH-Agent ve Jenkins/SSH-Slave Docker görüntüleri için görüntü oluşturma sırasında SSH ana bilgisayar anahtarlarının otomatik olarak oluşturulma biçiminden kaynaklanmaktadır.
.png
)
Aynı görüntü sürümünden oluşturulan tüm kaplar, aynı SSH ana bilgisayar anahtarlarını paylaşarak, ajanı taklit etmek için bir Jenkins denetleyicisi ile bir yapı aracısı arasında iletişimi engelleyebilen saldırganlara izin verir.
Bu, hassas trafiği potansiyel kötü niyetli aktörlere maruz bırakarak ağ güvenliğini tehlikeye atar.
Jenkins ekibi, güvenlik danışmanlığında aşağıda özetlenen iki güvenlik açığını açıkladı:
| CVE kimliği | Etkilenen bileşenler | Şiddet | Tanım |
| CVE-2025-32754 | Jenkins/SSH-Agent Docker görüntüleri | Orta | SSH ana bilgisayar anahtarlarının yeniden kullanılması, saldırganların yapım ajanlarını taklit etmesine ve ağ trafiğini engellemelerine olanak tanır. |
| CVE-2025-32755 | Kullanımdan kaldırılmış Jenkins/SSH-Slave Images | Orta | CVE-2025-32754 ile aynı güvenlik açığı, ancak daha eski, kullanımdan kaldırılmış Docker görüntülerine özgü. |
Etkilenen sürümler
Etkilenen görüntü varyantları şunları içerir:
- Jenkins/SSH-Agent:
- 2025-04-10’dan önce bir işletim sistemi (örn., -Jdk*, -jdk*-preview) belirtmeyen tüm görüntüler.
- 2025-04-10’dan önce Debian, Stretch, Bullseye veya Bookworm’a dayanan tüm görüntüler.
- Jenkins/Ssh-Slave (kullanımdan kaldırıldı):
- Etkilenen etiketler arasında en son, JDK11, en son-jdk11 ve REVERT-22-JDK11-Jenkins-52279’u içerir.
Etkilenmemiş görüntüler arasında Alpin, Nanoserver veya Windows’a dayanan tüm Jenkins/SSH-Agent ve Jenkins/SSH-Slave varyantları bulunur.
İyileştirme
Jenkins projesi, görüntü oluşturma sırasında önceden oluşturulan SSH ana bilgisayar anahtarlarını silerek sorunu ele alan Jenkins/SSH-Agent sürüm 6.11.2 sürümünü yayınladı.
Şimdi ilk konteyner başlangıçta yeni ana bilgisayar anahtarları oluşturulacak. Jenkins/SSH-Agent Docker görüntüsünün kullanıcılarına hemen bu son sürüme güncellemeleri önerilir.
Kullanımdan kaldırılan Jenkins/SSH-Slave görüntüleri için hiçbir düzeltme yapılmayacaktır. Kullanıcılara uygun güvenlik desteği ve bakımı için güncellenmiş Jenkins/SSH-Agent resmine geçmeleri istenir.
Jenkins ekibi, güvenlik açıklarını bildiren ve platformun güvenliğini artırmaya katkıda bulunan güvenlik araştırmacısı Abhishek Reddypalle’a şükranlarını dile getirdi.
Yöneticilere dağıtımlarını en son güvenli sürümlere güncellemeleri şiddetle tavsiye edilir.
Kullanımdan kaldırılmış yapılandırmalara dayanan kuruluşlar, daha iyi bakımlı çözümlere geçişe öncelik vermelidir.
Bu olay, potansiyel güvenlik açıklarının sömürülmesini önlemek için kapsayıcı ortamları güncel tutmanın öneminin altını çizmektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!