Разработчики популярного сервера автоматизации Jenkins выпустили критическое обновление безопасности, устраняющее уязвимость, ведущую к отказу в обслуживании (Denial-of-Service, DoS). Проблема, получившая идентификатор CVE-2025-67635, оценивается в 7.5 баллов по шкале CVSS и классифицируется как высокоопасная. Её эксплуатация позволяет злоумышленникам без каких-либо учетных данных выводить из строя экземпляры Jenkins, что представляет угрозу для миллионов организаций по всему миру.
Детали уязвимости
Уязвимость кроется в реализации HTTP-интерфейса командной строки (CLI) платформы. Конкретно, система неправильно обрабатывает поврежденные соединения. Когда поток данных в соединении нарушается, Jenkins не закрывает его должным образом. В результате, потоки обработки запросов переходят в состояние бесконечного ожидания, потребляя системные ресурсы. Со временем это приводит к исчерпанию доступных ресурсов и полной недоступности сервера для легитимных пользователей.
Особую опасность этой уязвимости придает простота эксплуатации. Атака не требует от злоумышленника специальных привилегий или взаимодействия с пользователем. Следовательно, достаточно отправить специально сформированный вредоносный HTTP-запрос к CLI. Это делает внешние, обращенные к интернету инсталляции Jenkins наиболее уязвимыми целями. Под угрозой оказываются как крупные корпоративные среды, так и небольшие команды разработки, использующие Jenkins для непрерывной интеграции и развертывания (CI/CD).
Затронутыми являются версии Jenkins 2.540 и более ранние, а также долгосрочные поддерживаемые выпуски (Long-Term Support, LTS) версии 2.528.2 и старше. Разработчики уже выпустили исправленные сборки, полностью устраняющие проблему. Пользователям основной ветки необходимо обновиться до версии 2.541 или новее. Те, кто использует LTS-версии, должны перейти на выпуск 2.528.3 или позднее. Эти обновления включают исправленный механизм закрытия соединений, который предотвращает состояние исчерпания ресурсов при получении поврежденных потоков данных.
Эксперты по кибербезопасности настоятельно рекомендуют организациям немедленно приступить к оценке своих развертываний Jenkins. В первую очередь необходимо выявить все экземпляры, работающие на уязвимых версиях. Безусловным приоритетом должно стать обновление серверов, доступных из публичной сети, поскольку риск их внешней эксплуатации максимален. Следует учитывать, что подобная атака на отказа в обслуживании может парализовать ключевые процессы сборки и развертывания программного обеспечения, что приведет к существенным операционным сбоям.
Для сред, где немедленное применение патча по каким-либо причинам невозможно, стоит рассмотреть дополнительные меры защиты на сетевом уровне. Например, можно ограничить доступ к порту, используемому HTTP CLI, только доверенным IP-адресам или внутренним сетям. Кроме того, мониторинг сетевой активности и системных журналов на предмет необычно большого количества запросов к CLI может помочь в раннем обнаружении атаки. Однако важно понимать, что такие меры носят временный характер и не заменяют установку официального обновления безопасности.
Это событие в очередной раз подчеркивает важность своевременного управления обновлениями для инфраструктурных компонентов в DevOps-цепочках. Jenkins, будучи краеугольным камнем многих процессов автоматизации, требует особого внимания со стороны специалистов по безопасности и системных администраторов. Регулярный аудит используемых версий программного обеспечения и оперативная реакция на выпущенные бюллетени безопасности должны стать стандартной практикой. Тем более что история Jenkins уже знает случаи обнаружения критических уязвимостей, эксплуатируемых реальными угрозами, включая группы APT (Advanced Persistent Threat, усовершенствованная постоянная угроза).
В заключение, уязвимость CVE-2025-67635 представляет собой серьезную угрозу для доступности систем на базе Jenkins. Её относительно низкий порог эксплуатации делает вероятными массовые атаки. Следовательно, организациям необходимо оперативно предпринять шаги по обновлению или дополнительной защите своих экземпляров, чтобы минимизировать риски для своих бизнес-процессов, зависящих от непрерывной работы серверов автоматизации.
Ссылки
- https://www.jenkins.io/security/advisory/2025-12-10/
- https://nvd.nist.gov/vuln/detail/CVE-2025-67635
- https://github.com/advisories/GHSA-9p56-p6mw-w8qc
- https://vuldb.com/?id.335627
