Am 2.4.24 hat Octopus Deploy hat einen Sicherheitshinweis veröffentlicht, der eine hochkritische Sicherheitslücke in der Deploy Automatisierung Octopus Server aufdeckt, die zu einer Rechteausweitung führen kann. Die Schwachstelle, identifiziert mit der CVE-ID CVE-2024-2975, betrifft Nutzer, die bestimmte Versionen des Octopus Servers unter Linux und Microsoft Windows installiert haben.
Entdeckt wurde das Problem am 20. Februar 2024, und bereits am 21. März 2024 wurde ein Patch veröffentlicht. Betroffen sind alle Versionen von Octopus Server 0.x.x bis 2024.2.x vor bestimmten Versionsnummern, einschließlich aller 2018.x.x bis 2023.x.x Versionen.
Die Sicherheitslücke wurde als hochkritisch eingestuft. Im Detail geht es um eine Race-Condition-Schwachstelle, die eine Rechteausweitung in bestimmten Konfigurationen ermöglicht. Kunden, die ihre Octopus Server auf Version 2024.1.12087 oder höher aktualisiert haben, sind von diesem Problem nicht betroffen.
Zur Behebung dieser Schwachstelle wurden neue Octopus Server-Versionen veröffentlicht, die das Problem adressieren: 2023.4.8432, 2024.1.12087 und 2024.2.2075. Octopus Deploy empfiehlt allen betroffenen Nutzern dringend, auf die neueste Version zu aktualisieren, um ihre Systeme zu schützen. Die aktuellsten Versionen können von der offiziellen Website heruntergeladen werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: