Ceux qui utilisent le système logiciel Jenkins pour le développement devraient étudier attentivement l’avertissement de sécurité actuel des développeurs. On y trouve des informations sur les failles de sécurité et les correctifs récemment découverts. Certaines mises à jour de sécurité se font toutefois encore attendre.

Jenkins est un serveur d’automatisation qui permet d’automatiser différentes tâches de création et de test de logiciels.

Patcher maintenant ! Ou désactiver les plug-ins

Comme on peut le voir dans l’article, la majorité des failles ont un niveau de menace « moyen« . Les vulnérabilités concernent Jenkins lui-même, mais aussi certains plug-ins. Entre autres, une faille (CVE-2022-20617) dans le Plug-in Docker Commons est associé à « élevé« . Ici, les attaquants disposant de certains droits pourraient exécuter leurs propres commandes après une attaque réussie. Le site Version 1.18 est protégée contre de telles attaques.

Les attaquants mettent en place le Plug-in Debian Package Builder jusqu’à la version 1.6.11 incluse, ils pourraient également exécuter leurs propres commandes (CVE-2022-23118 « élevé« ). Il n’existe pas encore de patch de sécurité pour ce problème. On ignore pour l’instant quand ce sera le cas.

Pour plus d’informations sur les failles et les mises à jour de sécurité, consultez le message d’alerte.