주요 Jenkins 취약점: DoS 공격 및 스크립트 Inject 가능성

Critical Jenkins Vulnerability Let Attackers Trigger DoS & Inject Scripts

Critical Jenkins Vulnerability Let Attackers Trigger DoS & Inject Scripts

 

• 발견된 주요 취약점
  1. JSON 라이브러리의 DoS 취약점 (CVE-2024-47855)
     • 영향 범위
       • Jenkins LTS 버전 2.479.1 및 이하, 2.486 및 이하
       • SonarQube Scanner, Bitbucket 플러그인 등 여러 플러그인에서 취약점 악용 가능
     • 취약점 내용
       • org.kohsuke.stapler:json-lib 라이브러리가 사용자 제공 JSON 데이터 처리 중 HTTP 요청 처리 스레드를 독점
       • 공격자는 Overall/Read 권한만으로 DoS 공격 수행 가능
     • 수정 사항
       • JSON 라이브러리 업데이트 (org.kordamp.json:json-lib-core에서 백포팅)
       • Jenkins LTS 버전 2.479.2 및 2.487에서 패치 완료
  2. Simple Queue 플러그인의 Stored XSS 취약점 (CVE-2024-54003)
     • 영향 범위
       • Simple Queue 플러그인 버전 1.4.4 및 이전 버전
     • 취약점 내용
       • View/Create 권한을 가진 사용자가 악성 스크립트를 주입 가능
       • 보안 처리 미흡으로 인해 보기 이름에서 XSS 발생
     • 수정 사항
       • Simple Queue 플러그인 버전 1.4.5에서 적절한 이스케이프 처리 적용
  3. Filesystem List Parameter 플러그인의 경로 탐색 취약점 (CVE-2024-54004)
     • 영향 범위
       • Filesystem List Parameter 플러그인 버전 0.0.14 및 이전 버전
     • 취약점 내용
       • Item/Configure 권한으로 Jenkins 컨트롤러 파일 시스템의 파일 이름 열거 가능
     • 수정 사항
       • 버전 0.0.15에서 기본적으로 허용 경로를 $JENKINS_HOME/userContent/로 제한
• 영향받는 버전
  • Jenkins Weekly: 2.486 이하
  • Jenkins LTS: 2.479.1 이하
  • Simple Queue Plugin: 1.4.4 이하
  • Filesystem List Parameter Plugin: 0.0.14 이하
• 보안 권고
  1. Jenkins 업데이트
     • Jenkins Weekly 버전 2.487 및 LTS 버전 2.479.2로 즉시 업데이트
  2. 플러그인 업데이트
     • Simple Queue 플러그인: 버전 1.4.5로 업데이트
     • Filesystem List Parameter 플러그인: 버전 0.0.15로 업데이트
  3. 취약점 점검 및 권한 관리
     • 사용자 권한을 최소화하고 필요 이상의 권한을 제한
  4. JSON 데이터 처리 검증 강화
     • 사용자 제공 JSON 데이터를 처리하는 모든 플러그인에 대한 검증 체계 강화
• 결론
  • 이번 Jenkins 취약점들은 DoS 공격, XSS, 경로 탐색 등 다양한 위협을 초래할 수 있는 심각한 보안 이슈
  • 최신 Jenkins 및 플러그인 버전으로의 즉각적인 업데이트를 통해 시스템 보안을 강화해야 함
  • 소프트웨어 공급망 보안의 중요성을 인식하고, 지속적인 패치 관리와 검증 프로세스를 강화해야 함