Jenkins

Die Schwachstelle betrifft die Kommandozeilen-Schnittstelle (CLI) des Automatisierungsservers Jenkins, die auf Java-Objektserialisierung beruht. Jenkins verfügt über einen Schutzmechanismus, der serialisierte Java-Objekte anhand einer Sperrliste prüft und unerwünschte Typen abweist. Diesen Schutz können Angreifer umgehen, indem sie ein speziell präpariertes serialisiertes Objekt vom Typ SignedObject an die CLI übermitteln. Dieses Objekt wird beim Empfang über einen neuen ObjectInputStream deserialisiert, wodurch die Sperrlisten-Prüfung nicht greift. Auf diesem Weg lässt sich beliebiger Code auf dem Jenkins-Server ausführen. Der Angriff erfordert weder eine Anmeldung noch gültige Zugangsdaten und ist aus der Ferne durchführbar. Betroffen sind sowohl die reguläre Jenkins-Linie als auch die Long-Term-Support-Variante. Da Jenkins zentral Build- und Bereitstellungsprozesse steuert, kann eine Übernahme weitreichende Folgen für die gesamte Entwicklungs- und Auslieferungskette haben.