Dalış Özeti:
- Açık kaynaklı otomasyon sunucusu Jenkins’in yaklaşık 45.000 örneği, geçen hafta açıklanan bir CVE’ye karşı açıkta ve istismara karşı savunmasız durumda. Gölge sunucusu verileri.
- Jenkins, kritik güvenlik açığının yamasını açıkladı ve ayrıntılı olarak açıkladı. CVE-2024-23897içinde güvenlik danışmanlığı Çarşamba günü. Jenkins güvenlik ekibi, Jenkins’in komut satırı arayüzündeki rastgele dosya okuma güvenlik açığının, tehdit aktörleri tarafından uzaktan kod yürütme amacıyla kullanılabileceğini söyledi.
- Sonar araştırmacıları güvenlik açığını keşfetti CI/CD yazılımında ve tehdit aktörlerinin ayrıcalıkları yükseltmek ve sunucuda uzaktan kod yürütmek için CVE’den yararlanabileceği birden çok yöntemin ayrıntıları.
Dalış Bilgisi:
Güvenlik araştırmacıları, geniş uygulama alanı nedeniyle özellikle Jenkins’teki kritik güvenlik açığından endişe duyuyor.
Açık kaynaklı yazılım, dünya çapında tahmini 11 milyon geliştiriciyle CI/CD pazarında yaklaşık %44’lük bir paya sahip. Linux Vakfı’nın Sürekli Teslimat Vakfı girişimi.
Jenkins yöneticilerinin derhal Jenkins 2.442’ye güncelleme yapmaları önemle tavsiye edilir. Jenkins’in tavsiyesine göre, en son sürüme hemen güncelleme yapamayan kuruluşlar, komut satırı arayüzüne erişimi devre dışı bırakmalıdır; bu durumun kötüye kullanımı tamamen engellemesi beklenir.
Açık kaynak topluluğu ayrıca kuruluşların bulut sunucularının CVE’nin en ciddi etkilerinden etkilenip etkilenmediğini kontrol etmelerine yönelik adımları da paylaştı.