Перейти к основному содержанию

Jenkins — RCE уязвимость CVE-2024-23897, 9.8 баллов

Jenkins

Критическая уязвимость удалённого выполнения кода CVE-2024-23897 в Jenkins, 9.8 баллов по шкале CvSS. Разработчик ПО уже выпустил исправления.

https://www.jenkins.io/security/advisory/2024-01-24/

Снова нет повода не обновиться. Проблему усугубляет наличие PoC в открытом доступе.

Jenkins использует библиотеку args4j для анализа аргументов и параметров команды на контроллере Jenkins при обработке команд CLI. Ошибка найдена в этой библиотеке. Уязвимость позволяет злоумышленникам читать произвольные файлы в файловой системе контроллера Jenkins. Если злоумышленник сможет прочитать криптографические ключи из двоичных файлов, то возможно удалённое выполнение кода через корневые URL-адреса ресурсов и другие способы атак.

Что делать?

Обновить ПО до безопасной версии Jenkins:

  • 2.442 или выше
  • LTS 2.426.3 или выше

Компенсационные меры: отключить доступ к CLI.

Ссылки

https://t.me/APT_Notes/995

Теги

 

Похожие материалы

HPE — SSD диски перестают работать после 40000 часов

Снова проблема с SSD дисками HPE. На этот раз некоторые SSD модели выходят из строя после 40000 часов работы. Для устранения неполадки нужно обновить прошивку дисков.

Минцифры поддержит белых хакеров

Министерство цифрового развития решило поддержать белых хакеров. Минцифры совместно с ИБ компаниями в рамках импортозамещения  готовит план финансовой поддержки разработки отечественных решений в сфере ИБ.

Теги