Origine : bjCSIRT
Numéro : 2024/ALERTE/050
Date de l’alerte : 08/08/2024
APERÇU :
Deux vulnérabilités critiques ont été découvertes dans Jenkins permettant l’exécution de code arbitraire et une divulgation de données.
DESCRIPTION :
Jenkins, est un outil open source de serveur d’automatisation. Il aide à automatiser les parties du développement logiciel liées au build, aux tests et au déploiement, et facilite l’intégration continue et la livraison continue.
Cet outil est affecté par deux vulnérabilités, libellées comme suit :
- CVE-2024-43044 : cette vulnérabilité permettrait à un acteur malveillant d’exécuter du code arbitraire à distance dans les contrôleurs de Jenkins. Elle est due à une faille dans la bibliothèque “Remoting”, utilisée pour la communication entre les contrôleurs Jenkins et les agents. Cette vulnérabilité est classée critique, avec un score de sévérité de 9.8 selon le CVSS version 3.1.
- CVE-2024-43045 : cette vulnérabilité permettrait à des utilisateurs non autorisés d’accéder aux “My Views” d’autres utilisateurs, qui sont des tableaux de bord personnalisés dans Jenkins. Elle pourrait exposer des informations sensibles et permettre aux attaquants de modifier ces vues, perturbant ainsi les flux de travail. Cette vulnérabilité est classée moyenne, avec un score de sévérité de 8.8 selon le CVSS version 3.1.
IMPACT :
- Exécution de code arbitraire à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Les versions de Jenkins Weekly antérieures à la version 2.4.71 ;
- Les versions Jenkins LTS antérieures à la version 2.452.4.
MESURES À PRENDRE :
- Mettre à jour Jenkins vers les dernières versions disponibles
RÉFÉRENCES :