概要

人気の自動化サーバーであるJenkinsにおいて、認証されていない攻撃者がHTTPベースのCLI接続を悪用し、サービス拒否（DoS）攻撃を引き起こす可能性のある、深刻度の高い脆弱性（CVE-2025-67635）が発見されました。この脆弱性は、数百万の組織が利用するJenkinsインスタンスに影響を及ぼす恐れがあり、Jenkinsは緊急のセキュリティアドバイザリを公開し、迅速な対応を呼びかけています。

脆弱性の詳細

この脆弱性は、JenkinsのHTTPベースのコマンドラインインターフェース（CLI）における、接続処理の不備に起因します。具体的には、接続ストリームが破損した際にアプリケーションが接続を適切に閉じないという設計上の欠陥が悪用されます。これにより、認証されていない攻撃者が不正な形式のHTTP CLIリクエストを送信すると、リクエスト処理スレッドが無限に待機状態となり、システムリソースを消費します。結果として、Jenkinsインスタンスが正規のユーザーにとって利用不能になるというDoS状態に陥ります。この攻撃には特別な権限やユーザー操作が不要なため、インターネットに公開されているデプロイ環境では特に高いリスクを伴います。

影響を受けるバージョンと対策

本脆弱性の影響を受けるJenkinsバージョンは以下の通りです。

• Jenkins 2.540 およびそれ以前のバージョン
• Jenkins LTS 2.528.2 およびそれ以前のバージョン

これらのバージョンを使用している組織は、直ちに修復作業を優先する必要があります。Jenkinsは既にこの問題に対処したパッチをリリースしており、ユーザーは以下のバージョンへのアップグレードが強く推奨されます。

• Jenkins 2.541 以降
• Jenkins LTS 2.528.3 以降

これらの修正済みバージョンには、破損したストリームによって引き起こされるリソース枯渇状態を防ぐ、適切な接続終了メカニズムが実装されています。

推奨事項

セキュリティチームは、自社のJenkinsデプロイ状況を速やかに評価し、影響を受けるインスタンスを特定してください。特に、外部からの悪用リスクが最も高いインターネットに公開されているJenkinsサーバーのパッチ適用を最優先で行うべきです。また、即座のパッチ適用が困難な環境では、CLIインターフェースへのアクセスを制限するためのネットワークレベルでのアクセス制限を検討することが推奨されます。

元記事: https://gbhackers.com/high-severity-jenkins-flaw-enables-unauthenticated/