Jenkins ist ein erweiterbares, webbasiertes Softwaresystem zur kontinuierlichen Entwicklung von Anwendungsprogrammen. Der Jenkins-Automation-Server übernimmt dabei verschiedene Aufgaben beim eigentlichen Erstellen und Testen der Applikation. Jenkins ist in Java geschrieben und läuft in beliebigen EJB-Containern. Jenkins unterstützt verschiedenste Build-Tools wie beispielsweise Gradle, Maven oder Apache Ant. Auch kommt Jenkins mit diversen Repository-Systemen wie CVS, Subversion oder Git zurecht. Dazu kann der Anwender auch zahlreicher Testverfahren unter Jenkins benutzen, etwa JUnit. Ein Anwender kann Jenkins auch durch Plugins erweitern. Dadurch kann Jenkins neben Java auch .NET-, PHP- oder Ruby-Projekte verwalten.
Die Jenkins Entwickler gaben nun bekannt, dass in zahlreichen dieser Plugins Sicherheitsmängel vorhanden sind. Insgesamt sind so zwölf verschiende Plugins betroffen:
- Azure Slave Plugin
- Coverity Plugin
- CppNCSS Plugin
- Environment Injector Plugin
- Gerrit Trigger Plugin
- Git Plugin
- Google Play Android Publisher Plugin
- Job and Node ownership Plugin
- Mercurial Plugin
- promoted builds Plugin
- Subversion Plugin
- TestLink Plugin
Alle Plugins sind von verschiedenen Schwachstellen betroffen. Eine detaillierte Auflisting der einzelnen Schwachstlelen findet sich auf der offiziellen Advisory-Webseite. Hier findet man auch Informationen zu Updates der einzelnen Plugins. Für das Azure-Slave-Plugin gibt es kein Update, da dieses seit 2016 nicht mehr unterstützt wird. Das Advisory enthält auch Information wie manche Plugins ohne Update geschützt werden können.
