Jenkinsのパッチ

Jenkinsは、ソフトウェア開発の自動化を支援するツールです。
ソフトウェア開発向けにビルドとテストとデプロイに関連する部分の自動化を支援し、継続的インテグレーションと継続的デリバリーを促進することのできる仕組みです。
このJenkinsで影響の大きい脆弱性に関するパッチが提供されています。
ここでは、案内された2つの脆弱性対応について見てみます。

• CVE-2024-23897
  この脆弱性により、認証されていない攻撃者は、任意のファイルの最初の数行部分のデータを読み取ることができ、「読み取り専用」権限のある攻撃者は、Jenkinsのサーバーから任意のファイル全体を読み取ることができます。
  この欠陥は、Jenkinsのargs4jコマンドパーサーのデフォルト動作に起因するものです。
  読まれて困るファイル、読まれたくありません。そうです、パスワードファイルなど、その代表です。

   

• CVE-2024-23898
  この脆弱性によって、攻撃者は任意のCLIコマンドを実行することができます。
  タイプとしては、クロスサイトWebSocketハイジャッキング（CSWSH）と呼ばれる脆弱性です。
  攻撃者が、ユーザーをだまして悪意のあるリンクをクリックさせることで、任意のCLIコマンドを実行するという作戦です。

これらの脆弱性に対応するパッチは、すでに提供されています。
しかし、脆弱性の情報も明らかになり、その情報を使用して、多くのPoCコードも作成されて公表されています。
PoCコードは、研究者の技術資料として有用です。
しかし、そのPoCコードを利用することにより、だれでも攻撃を実現することができるようになってしまいます。悪意の有無は関係ありません。
すでに攻撃活動に悪用されているという情報もあります。

脆弱性対策の必要性は次第に理解されてきていることと思いますが、その対応活動にタイムリーさと継続性が必要なことの重要性もおさえておきたいと思いました。

参考記事（外部リンク）：Excessive Expansion: Uncovering Critical Security
Vulnerabilities in Jenkins
www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/