Siber Muhbir

CVE tanımlayıcısı CVE-2024-23897 olarak atanan sorun, yerleşik komut satırı arabirimi (CLI aracılığıyla rastgele dosya okuma güvenlik açığı) olarak tanımlanmıştır)

Geliştiriciler Çarşamba günü yaptıkları bir danışma belgesinde, "Jenkins, CLI komutlarını işlerken Jenkins denetleyicisindeki komut bağımsız değişkenlerini ve seçeneklerini ayrıştırmak için args4j kitaplığını kullanıyor" dedi.

"Bu komut ayrıştırıcısı, bir bağımsız değişkendeki @ karakterini ve ardından dosya yolunu dosyanın içeriğiyle (expandAtFiles) değiştiren bir özelliğe sahiptir. Bu özellik varsayılan olarak etkindir ve Jenkins 2.441 ve önceki sürümler, LTS 2.426.2 ve önceki sürümler bunu devre dışı bırakmaz."

Bir tehdit aktörü, Jenkins denetleyici işleminin varsayılan karakter kodlamasını kullanarak Jenkins denetleyici dosya sistemindeki rastgele dosyaları okumak için bu tuhaflıktan yararlanabilir.

"Genel/Okuma" iznine sahip saldırganlar tüm dosyaları okuyabilirken, bu izne sahip olmayanlar CLI komutlarına bağlı olarak dosyaların ilk üç satırını okuyabilir.

Ek olarak, eksiklik, belirli kısıtlamalarla da olsa, kriptografik anahtarlar içeren ikili dosyaları okumak için silah haline getirilebilir. Jenkins, ikili sırların çıkarılabilmesi koşuluyla, bunun çeşitli saldırılara kapı açabileceğini söylüyor.

• Kaynak Kök URL'leri aracılığıyla uzaktan kod yürütme
• "Beni hatırla" çerezi aracılığıyla uzaktan kod yürütme
• Derleme günlükleri aracılığıyla depolanmış siteler arası betik çalıştırma (XSS) saldırıları aracılığıyla uzaktan kod yürütme
• CSRF koruma atlaması yoluyla uzaktan kod yürütme
• Jenkins'te depolanan gizli dizilerin şifresini çözme
• Jenkins'te herhangi bir öğeyi silme
• Java yığın dökümü indirme

Jenkins, "İkili veri içeren dosyalar okunabilirken, etkilenen özellik, denetleyici işleminin varsayılan karakter kodlamasını kullanarak bunları dize olarak okumaya çalışır" dedi.

"Bu, bazı baytların başarılı bir şekilde okunmamasına ve bir yer tutucu değerle değiştirilmesine neden olabilir. Hangi baytların okunabileceği veya okunamayacağı bu karakter kodlamasına bağlıdır."

SonarSource güvenlik araştırmacısı Yaniv Nizry, 13 Kasım 2023'te Jenkins 2.442, LTS 2.426.3'te komut ayrıştırıcı özelliğini devre dışı bırakarak düzeltilen kusuru keşfedip bildirmekle suçlandı.

Düzeltme eki uygulanana kadar kısa vadeli bir geçici çözüm olarak CLI'ya erişimin kapatılması önerilir.

Gelişme, Jenkins'in hedeflenen sistemlerde kod yürütülmesine yol açabilecek CorePlague (CVE-2023-27898 ve CVE-2023-27905) adlı bir çift ciddi güvenlik açığını ele almasından yaklaşık bir yıl sonra geldi.

Güncelleştirmek

CVE-2024-23897 için kavram kanıtı (PoC) açıkları, kusurun kamuya açıklanmasının ardından GitHub'da yayınlandı ve bu da olası riskleri önlemek için kullanıcıların kurulumlarını en son sürüme güncellemelerini zorunlu hale getirdi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.