Jenkinsに「緊急」の脆弱性が見つかる 急ぎアップデートを:セキュリティニュースアラート
SonarSourceはJenkinsに重大な脆弱性を発見した。これらは「CVE-2024-23897」「CVE-2024-23898」として特定されており、既に悪用が確認されているという。
SonarSourceは2024年1月25日(現地時間、以下同)、「継続的インテグレーション/継続的デリバリー」(CI/CD)のためのソフトウェア「Jenkins」に重大な脆弱(ぜいじゃく)性を発見したと伝えた。これらの脆弱性は「CVE-2024-23897」や「CVE-2024-23898」などで特定されている。
Jenkinsに「緊急」の脆弱性が見つかる 悪用されるとどうなるか?
Jenkinsはプラグインによる機能の拡張や複雑なビルドパイプラインのサポート、マスター/スレーブアーキテクチャ、さまざまなバージョン管理システム、スクリプト化と自動化対応など、高い汎用性と柔軟性があることから小規模なプロジェクトから大企業に至るまで幅広いシーンで採用されている。
CVE-2024-23897が悪用された場合、認証されていないサイバー攻撃者が任意のファイルデータを読み取れる他、許可されたサイバー攻撃者はJenkinsサーバから任意のファイル全体を読み取ることが可能だ。これを悪用されると、最終的に特権昇格によって任意のコードが実行される危険性がある。
CVE-2024-23898が悪用された場合、サイバー攻撃者は被害者を操作してリンクをクリックさせることで任意のCLIコマンドを実行させることが可能になる。
Jenkinsコミュニティーは2024年1月24日の時点でこの脆弱性に関するセキュリティアドバイザリを公開している。「CVE-2024-23897」の深刻度は「緊急」(Critical)と評価され、「CVE-2024-23898」の深刻度は「重要」(High)と評価されている。該当バージョンを使用している際には迅速に対応することが求められる。
脆弱性の影響を受けるプロダクトとバージョンは以下の通りだ。
- Jenkins 2.442よりも前のバージョン
- Jenkins 2.426.3よりも前のバージョン
これらの脆弱性を利用する概念実証(PoC)が既に公開されており、さらに研究者らは悪用が確認されたことなども指摘している。
関連記事
- なぜ日本は新種のマルウェアに狙われるのか? 330万件の攻撃を分析して分かったこと
BlackBerry Japanは330万件を超えるサイバー攻撃を阻止し、その結果をレポートとしてまとめた。これによると日本はユニークなマルウェアを使った攻撃を頻ぱんに受けていることが分かった。 - 「もうセキュリティから逃げられない」 SECの新規則施行で上場企業が頭を悩ませる
SECのサイバーインシデント報告義務規則によって、上場企業はサイバーガバナンスと脅威への対応策を高いレベルで管理しなければならない。 - IPAが「情報セキュリティ10大脅威 2024」を公開 個人編・組織編の結果は?
IPAは2023年に社会的影響を与えたセキュリティの脅威を「情報セキュリティ10大脅威 2024」として公表した。 - 住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか?
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.