セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-47805】Jenkins Credentials Pluginに深刻な脆弱性、SecretBytes型の認証情報が漏洩の危険性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Jenkins Credentials Pluginに暗号化値の漏洩の脆弱性
• REST APIやCLIでconfig.xmlにアクセス時に発生
• SecretBytes型の認証情報が適切に編集されない問題

Jenkins Credentials Plugin 1380.va_435002fa_924の脆弱性

Jenkins Projectは2024年10月2日、Jenkins Credentials Plugin 1380.va_435002fa_924以前のバージョンにおいて、SecretBytes型の認証情報の暗号化値が適切に編集されない脆弱性を公開した。REST APIやCLIを介してconfig.xmlにアクセスした際に、暗号化されるべき値が平文で露出してしまう深刻な問題が発見されている。^[1]

この脆弱性はバージョン1371.1373.v4eb_fa_b_7161e9では修正されているが、それ以外の1380.va_435002fa_924までのバージョンでは脆弱性が存在している状態だ。Jenkins Security Advisoryによって【CVE-2024-47805】として識別されており、早急な対応が求められる。

SSVCの評価によると、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性は低いとされている。しかしながら、認証情報の漏洩は深刻なセキュリティリスクとなり得るため、影響を受けるバージョンを使用している場合は速やかなアップデートが推奨される。

Jenkins Credentials Pluginの脆弱性概要

SecretBytesについて

SecretBytesとは、Jenkinsで使用される機密データを安全に保存するためのデータ型であり、主な特徴として以下のような点が挙げられる。

• バイナリ形式の機密データを暗号化して保存
• メモリ上でも安全に取り扱いが可能
• プラグインAPIを通じて機密情報を保護

Jenkins Credentials Pluginにおいて、SecretBytesはパスワードやAPIキーなどの機密情報を安全に管理するための重要な機能を提供している。今回の脆弱性では、このSecretBytes型で保存された認証情報がREST APIやCLIアクセス時に適切に編集されずに露出してしまう問題が確認されている。

Jenkins Credentials Pluginの脆弱性に関する考察

Jenkins Credentials Pluginの脆弱性は、CIパイプラインにおける認証情報の管理に重大な影響を及ぼす可能性がある。特にエンタープライズ環境では多数の認証情報が集中管理されているため、この脆弱性を通じて機密情報が漏洩した場合、組織全体のセキュリティが危険にさらされる可能性が高まるだろう。

今後は同様の脆弱性を防ぐため、認証情報の暗号化処理に関するコードレビューの強化が必要となる。また、REST APIやCLIインターフェースを介したconfig.xmlへのアクセス時の暗号化値の取り扱いについて、より厳格な検証プロセスの導入も検討すべきだろう。

Jenkinsコミュニティには、脆弱性の早期発見と修正のためのセキュリティテストの拡充が期待される。特にプラグインの開発において、機密情報の取り扱いに関するベストプラクティスの確立と、それに基づいた開発ガイドラインの整備が重要となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47805, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧