Jenkinsは、人気のオートメーションサーバーに依存する何百万もの組織に影響を与える高深刻度のサービス拒否(DoS)の脆弱性に対処する、重大なセキュリティアドバイザリを公開しました。
この欠陥はCVE-2025-67635として追跡されており、破損したHTTPベースのCLI接続の不適切な処理を悪用することで、認証されていない攻撃者がJenkinsインスタンスを妨害できてしまいます。
脆弱性の概要
この脆弱性は、JenkinsのHTTPベースのコマンドラインインターフェイスに存在し、接続ストリームが破損した際に、アプリケーションが接続を適切にクローズできないことに起因します。
この設計上の欠陥により、攻撃者は認証情報を持たなくても、不正な形式のHTTP CLIリクエストを送信することでサービス拒否攻撃を仕掛けることが可能になります。
悪用されると、これらのリクエストによりリクエスト処理スレッドが無期限に待機状態となり、システムリソースを消費し続け、正当なユーザーがJenkinsインスタンスを利用できない状態になります。
この攻撃には特別な権限やユーザー操作は一切必要なく、インターネットに公開された環境では極めて危険です。
この脆弱性は幅広いJenkins環境に影響し、エンタープライズ環境だけでなく、継続的インテグレーションおよびデプロイメント業務にJenkinsを依存している小規模なDevOpsチームにも影響を及ぼします。
この脆弱性は、Jenkinsバージョン2.540以前およびJenkins LTS(長期サポート)バージョン2.528.2以前に影響します。
| CVE ID | CVSSスコア | 深刻度 | 影響を受けるバージョン |
|---|---|---|---|
| CVE-2025-67635 | 7.5 | High(高) | Jenkins ≤2.540, LTS ≤2.528.2 |
これらのバージョンを実行している組織は、即時のリスクにさらされており、早急に対策を優先する必要があります。
Jenkinsは、この問題に対処するパッチ済みバージョンをリリースしています。ユーザーはJenkins 2.541以降にアップグレードし、LTSユーザーはバージョン2.528.3以降に更新する必要があります。
これらのバージョンには、破損したストリームによって引き起こされるリソース枯渇状態を防ぐための、適切な接続クローズ機構が含まれています。
セキュリティチームは、自身のJenkins環境を直ちに評価し、影響を受けるインスタンスを特定する必要があります。
外部からの悪用リスクが最も高い、インターネットに公開されたJenkinsサーバーのパッチ適用を優先してください。
すぐにパッチを適用できない環境では、ネットワークレベルでの制限を実装し、CLIインターフェイスへのアクセスを制限することを検討してください。
翻訳元: https://gbhackers.com/high-severity-jenkins-flaw-enables-unauthenticated/
