Les responsables du logiciel d’automatisation open source d’int\u00e9gration continue\/de livraison et de d\u00e9ploiement continus (CI\/CD) Jenkins ont r\u00e9solu neuf failles de s\u00e9curit\u00e9, dont un bug critique qui, s’il \u00e9tait exploit\u00e9 avec succ\u00e8s, pourrait entra\u00eener l’ex\u00e9cution de code \u00e0 distance (RCE).<\/p>\n
Le probl\u00e8me, attribu\u00e9 \u00e0 l’identifiant CVE CVE-2024-23897<\/strong><\/a>a \u00e9t\u00e9 d\u00e9crit comme une vuln\u00e9rabilit\u00e9 de lecture de fichier arbitraire via l’interface de ligne de commande int\u00e9gr\u00e9e (CLI<\/a>)<\/p>\n “Jenkins utilise la biblioth\u00e8que args4j pour analyser les arguments et options de commande sur le contr\u00f4leur Jenkins lors du traitement des commandes CLI”, expliquent les responsables. dit<\/a> dans un avis de mercredi.<\/p>\n “Cet analyseur de commandes a une fonctionnalit\u00e9 qui remplace un caract\u00e8re @ suivi d’un chemin de fichier dans un argument avec le contenu du fichier (expandAtFiles). Cette fonctionnalit\u00e9 est activ\u00e9e par d\u00e9faut et Jenkins 2.441 et versions ant\u00e9rieures, LTS 2.426.2 et versions ant\u00e9rieures ne la d\u00e9sactivent pas. “.<\/p>\n Un acteur malveillant pourrait exploiter cette bizarrerie pour lire des fichiers arbitraires sur le syst\u00e8me de fichiers du contr\u00f4leur Jenkins en utilisant le codage de caract\u00e8res par d\u00e9faut du processus du contr\u00f4leur Jenkins.<\/p>\n Alors que les attaquants disposant de l’autorisation \u00ab\u00a0Global\/Lecture\u00a0\u00bb \u200b\u200bpeuvent lire des fichiers entiers, ceux qui n’en disposent pas peuvent lire les trois premi\u00e8res lignes des fichiers en fonction des commandes CLI.<\/p>\n De plus, cette lacune pourrait \u00eatre utilis\u00e9e pour lire des fichiers binaires contenant des cl\u00e9s cryptographiques, mais avec certaines restrictions. \u00c0 condition que les secrets binaires puissent \u00eatre extraits, Jenkins affirme que cela pourrait ouvrir la porte \u00e0 diverses attaques :<\/p>\n “Bien que les fichiers contenant des donn\u00e9es binaires puissent \u00eatre lus, la fonctionnalit\u00e9 concern\u00e9e tente de les lire sous forme de cha\u00eenes en utilisant le codage de caract\u00e8res par d\u00e9faut du processus du contr\u00f4leur”, a d\u00e9clar\u00e9 Jenkins.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Une-vulnerabilite-critique-de-Jenkins-expose-les-serveurs-aux-attaques.jpg\")
<\/a><\/center><\/div>\n\n