Sistemin güvenliği açısından önemli riskler oluşturan bir dizi güvenlik açığı tespit edildi.
Bu güvenlik açıkları, son tavsiyelerde vurgulandığı gibi, saldırganların hizmet reddi (DoS) saldırılarını tetiklemesine ve komut dosyası enjeksiyonları yürütmesine olanak tanıyabilir.
JSON Kütüphanesinde Hizmet Reddi Güvenlik Açığı – CVE-2024-47855
CVE-2024-47855 olarak tanımlanan büyük bir güvenlik açığı, JSON verilerini işlemek için org.kohsuke.stapler:json-lib kitaplığını kullanması nedeniyle Jenkins sistemini etkiliyor.
Orijinal net.sf.json-lib:json-lib’in Jenkins proje çatalı olan bu kitaplığın, Jenkins LTS 2.479.1 ve önceki sürümleri ile 2.486 ve önceki sürümlerinde duyarlı olduğu bulunmuştur.
Genel/Okuma iznine sahip saldırganlar, HTTP istek işleme iş parçacıklarını tekeline almak için bu güvenlik açığından yararlanabilir ve bu da Jenkins’in meşru kullanımını engelleyen belirsiz sistem kaynağı kullanımına yol açabilir.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Daha da endişe verici olanı, SonarQube Scanner ve Bitbucket gibi bazı eklentilerin Genel/Okuma izinleri olmayan saldırganların bu kusurdan yararlanmasına izin vermesidir.
Bu eklentiler veya kullanıcı tarafından sağlanan JSON’u işleyen diğer özellikler de güvenlik açığına sahip olabilir ve potansiyel olarak bu özelliklerin kullanılamamasına neden olabilir.
Güvenlik ekibi, düzeltmeleri org.kordamp.json:json-lib-core’dan org.kohsuke.stapler:json-lib’e destekleyerek ve 2.4-jenkins-8 sürümüyle sonuçlanan düzeltmeleri destekleyerek bu güvenlik açığını kapattı. Düzeltme, Jenkins LTS sürüm 2.479.2 ve sürüm 2.487’de bulunmaktadır.
Basit Kuyruk Eklentisinde Depolanan XSS Güvenlik Açığı – CVE-2024-54003
Bir diğer kritik sorun ise Simple Queue Plugin’deki CVE-2024-54003 olarak tanımlanan depolanan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır.
1.4.4 ve önceki sürümler, görünüm adlarından yeterince kaçmadığından, Görüntüleme/Oluşturma iznine sahip saldırganların kötü amaçlı komut dosyalarını yürütmesine olanak tanır.
Bu güvenlik açığı, XSS risklerini azaltmak için görünüm adlarından uygun şekilde kaçış yapılmasını sağlayan Simple Queue Plugin sürüm 1.4.5’te giderilmiştir.
Dosya Sistemi Listesi Parametre Eklentisindeki Yol Geçişi Güvenlik Açığı – CVE-2024-54004
Dosya Sistemi Listesi Parametre Eklentisi’nin 0.0.14 ve önceki sürümleri, yol geçişi güvenlik açığından (CVE-2024-54004) muzdariptir.
Bu kusur, Öğe/Yapılandırma iznine sahip saldırganların Jenkins denetleyici dosya sistemindeki dosya adlarını numaralandırmasına olanak tanır. Bu sorun, izin verilenler listesine giden yolları varsayılan olarak $JENKINS_HOME/userContent/ ile sınırlandıran 0.0.15 sürümünde giderilmiştir.
Etkilenen Sürümler ve Düzeltmeler
- Jenkins haftalık: 2.486’ya kadar (dahil)
- Jenkins LTS: 2.479.1’e kadar (dahil)
- Dosya Sistemi Listesi Parametre Eklentisi: 0.0.14’e kadar (dahil)
- Basit Kuyruk Eklentisi: 1.4.4’e kadar (1.4.4 dahil)
Jenkins tarafından hazırlanan bir rapora göre, Kullanıcılara Jenkins’i haftalık olarak 2.487 sürümüne ve Jenkins LTS’yi 2.479.2 sürümüne güncellemeleri şiddetle tavsiye edilir.
Ayrıca, bu güvenlik açıklarına karşı koruma sağlamak için etkilenen eklentilerin en son sürümlerine güncellenmesi gerekir. Bu güncellemelerin uygulanmaması, sistemleri potansiyel istismara açık hale getirir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın