セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-47804】Jenkins 2.478のアクセス制御バイパスの脆弱性が公開、制限されたアイテム作成が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Jenkins 2.478以前で権限チェックのバイパスが可能
• アクセス制御を回避して制限されたアイテムを作成可能
• アイテムの設定権限で非承認アイテムを作成できる脆弱性

Jenkins 2.478のアクセス制御バイパスの脆弱性

Jenkins ProjectはJenkins 2.478以前のバージョンにおける重大な脆弱性を2024年10月2日に公開した。この脆弱性では、CLIやREST APIを通じてACLのhasCreatePermission2やTopLevelItemDescriptorのisApplicableInによって制限されたアイテムタイプの作成が可能になることが判明している。^[1]

脆弱性のあるバージョンでは、Item/Configure権限を持つ攻撃者が制限されたアイテムをメモリ上に作成し保存することで、アクセス制御を回避できる状態にあった。この問題はJenkins 2.462.3およびJenkins 2.479以降で修正され、アイテム作成の権限チェックが強化されることとなった。

CISAの評価によると、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性は低いとされている。しかしながら、アクセス制御のバイパスという性質上、影響を受けるシステムは早急なアップデートが推奨される状況だ。

Jenkins 2.478の脆弱性の詳細

アクセス制御について

アクセス制御とは、システムやリソースに対するユーザーのアクセス権限を管理する仕組みのことを指す。主な特徴として、以下のような点が挙げられる。

• 権限に基づいたリソースへのアクセス制限
• ユーザー認証と認可の管理機能
• セキュリティポリシーに基づく制御機能

Jenkinsのアクセス制御システムでは、ACLを使用してアイテムの作成や設定変更などの権限を細かく制御することが可能となっている。今回の脆弱性では、このアクセス制御システムのバイパスが可能となり、本来許可されていないアイテムタイプの作成が可能になってしまう状況が発生した。

Jenkinsのアクセス制御バイパスに関する考察

Jenkinsのアクセス制御システムにおけるこの脆弱性は、権限管理の複雑さと実装の難しさを浮き彫りにしている。CLIやREST APIを介したアクセスでは、Webインターフェースとは異なる処理パスが存在することが多く、そこに一貫性のない権限チェックが混入する可能性が常に存在するのだ。

今後は同様の問題を防ぐため、アクセス制御のチェックポイントを一元化し、すべてのインターフェースで同じ検証ロジックを使用する設計が重要になってくるだろう。特にマイクロサービス化が進む現代のシステムでは、権限管理の一貫性を保つことがより一層重要な課題となってくる。

また、Jenkins Projectには継続的なセキュリティ監査とペネトレーションテストの実施が求められる。特にアクセス制御に関するテストケースを充実させ、様々なアクセスパターンでの権限チェックの検証を徹底することで、同様の脆弱性の早期発見と対策が可能になるはずだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47804, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧