Jenkins Sicherheitswarnung vom 2. Oktober 2024
Jenkins, ein beliebter Continious Delivery Dienst hat am 2.10.2024 eine Sicherheitswarnung zu mehreren Schwachstellen in Jenkins und verwandten Plugins wurde veröffentlicht:
- SECURITY-3451 / CVE-2024-47803: Mittlere Schwere. Mehrzeilige Geheimnisse werden durch Fehlernachrichten exponiert. Problem behoben in Jenkins 2.479 und LTS 2.462.3.
- SECURITY-3448 / CVE-2024-47804: Mittlere Schwere. Umgehung der Einschränkungen bei der Erstellung von Elementen über Jenkins CLI oder REST API. Behoben in Jenkins 2.479 und LTS 2.462.3.
- SECURITY-3373 / CVE-2024-47805: Mittlere Schwere. Enthüllung verschlüsselter Zugangsdaten über REST API oder CLI im Credentials Plugin. Behoben in Version 1381.v2c3a_12074da_b_.
- SECURITY-3441 (1 & 2) / CVE-2024-47806, CVE-2024-47807: Hohe Schwere. OpenId Connect Authentication Plugin validiert nicht die
audundissClaims von ID-Token. Behoben in Version 4.355.v3a_fb_fca_b_96d4.
Nutzer sollten dringend auf die gepatchten Versionen aktualisieren, um diese Schwachstellen zu beheben.