오픈소스 자동화 도구 ‘젠킨스’, 심각한 보안 취약점 발견... 8만개 영향 우려
오픈소스 자동화 도구 ‘젠킨스’, 심각한 보안 취약점 발견... 8만개 영향 우려
최근 오픈소스 자동화 도구인 젠킨스(Jenkins)에 심각한 보안 취약점 ‘CVE-2024-43044’이 발견됐다. 이 취약점은 원격코드 실행(RCE)으로 이어질 수 있는 심각한 결함이다.
www.boannews.com
- 오픈소스 자동화 도구 젠킨스(Jenkins)에서 심각한 보안 취약점 ‘CVE-2024-43044’이 발견
- 원격코드 실행(RCE)으로 이어질 수 있음
- 또한, 권한 확인 누락 취약점 ‘CVE-2024-43045’도 함께 발견
- 특정 권한을 가진 공격자가 타 사용자의 ‘My Views’를 확인할 수 있는 위험이 있
- 영향 범위
- 젠킨스 2.470 및 이전 버전, LTS 2.452.3 및 이전 버전에서 발견
- 젠킨스의 리모팅(Remoting) 라이브러리에 존재하는 결함으로 인해, 공격자는 컨트롤러 파일 시스템에서 임의의 파일을 읽을 수 있음
- 전 세계 93개국에서 약 8만 개의 젠킨스 서버가 취약점에 노출된 상태로 확인
- 검색된 서버 중 다수는 RCE 취약점 외에도 여러 심각한 취약점을 포함하고 있어 추가적인 보안 위험 존재
- 대응 방안
- 젠킨스 위클리는 2.471 버전으로, 젠킨스 LTS는 2.452.4 또는 2.462.1 버전으로 즉시 업데이트할 것을 권장
- 외부 인터넷에 노출된 젠킨스 장치는 위협 헌팅 도구와 CTI 검색엔진을 사용하여 탐지하고, 취약점을 제거 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Vulnerability in Acrobat Reader could lead to remote code execution; Microsoft patches information disclosure issue in Windows API (1) | 2024.09.15 |
|---|---|
| 보안뉴스_깃허브, 엔터프라이즈 서버에서 XML 서명 래핑 취약점 발견 (0) | 2024.08.28 |
| 보안뉴스_솔라윈즈 제품에서 자격증명·원격코드 실행 취약점 발견 (0) | 2024.08.28 |
| Cisco, Fortinet, VMware 제품 내 심각한 보안 취약점 패치 공개 (0) | 2024.02.12 |
| Cerber Ransomware, Atlassian Conflunce 취약점(CVE-2023-22518) 이용 (0) | 2023.11.12 |