The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.10.2017 08:17  Серия уязвимостей в системе непрерывной интеграции Jenkins

Разработчики инструментария непрерывной интеграции Jenkins представили корректирующие выпуски 2.84 и 2.73.2, в который устранено 7 уязвимостей. Кроме того, выпущены новые версии плагинов для интеграции с Swarm и Maven, в которых также устранены уязвимости. Уязвимость выявлена и в плагине Speaks, но из-за отсутствия исправления данный плагин рекомендован к удалению.

Наиболее опасная проблема в Jenkins позволяет злоумышленнику с правами агента выполнить произвольные shell-команды на master-сервере. Уязвимость в плагине Speaks позволяет выполнить код в Jenkins JVM, при наличии полномочий создание или настройки заданий, независимо от наличия прав на их запуск. Остальные проблемы связаны с утечкой информации или инициированием отказа в обслуживании.

  1. Главная ссылка к новости (https://jenkins.io/blog/2017/1...)
  2. OpenNews: Критическая уязвимость в системе непрерывной интеграции Jenkins
  3. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  4. OpenNews: Первый релиз Jenkins после форка. Oracle и Sonatype форсируют развитие Hudson
  5. OpenNews: Разработчики Hudson проголосовали за переименование проекта в Jenkins
Лицензия: CC-BY
Тип: Программы
Ключевые слова: jenkins
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:35, 13/10/2017 [ответить] [смотреть все]
  • +1 +/
    Сколько помню, агент-мастер соединение всегда было дырявым Не могут WINдузятные... весь текст скрыт [показать]
     
  • 1.2, Led, 21:25, 13/10/2017 [ответить] [смотреть все]  
  • –5 +/
    Хипстота должна страдать.
     
     
  • 2.3, Аноним, 01:40, 14/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Альтернативные способы автоматизации сборки и тестирования в студию
     
     
  • 3.4, Аноним, 03:37, 14/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Заход красивый, но бесполеный Ответа не будет т к думающие чужими лозунгами с... весь текст скрыт [показать]
     
  • 3.5, Аноним, 06:40, 14/10/2017 [^] [ответить] [смотреть все]  
  • +/
    BamBoo, GoCD, CruiseControl, TeamCity, etc.
     
  • 3.8, Lolwat, 19:36, 14/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не работал. Нужен вброс полезной инфы от тех кто работал с другими в прод.
     
     
  • 4.10, freehck, 03:00, 15/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Инструмент выбирается под задачу. Напишите, чем Вы не довольны в Jenkins, попробуем порешать их или посоветуем, куда смотреть.

    Вот тут советуют TeamCity как замена Jenkins, но вот для моих задач они оказались равноценны (вопрос проприетарности даже не рассматривался).

     
  • 4.13, VoDA, 17:25, 16/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не
    > работал. Нужен вброс полезной инфы от тех кто работал с другими
    > в прод.

    В GitLab встроили свой CI движок. Довольно удобен для сборки по коммиту и задач CI.

    Для построения CI/CD цепочки лучше смотреть на выделенные сервера типа Jenkins, etc.


     
  • 4.15, пох, 09:09, 17/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > Нужен вброс полезной инфы от тех кто работал с другими в прод.

    ок, открывайте блокнотик, берите красную ручку, записывайте: CruiseControl - чудовищное, феерическое жабье дерьмо.

    Стоит разок поставить для какого-нибудь большого проекта только ради того, чтобы искренне полюбить jenkins.

     
  • 1.7, ALex_hha, 15:14, 14/10/2017 [ответить] [смотреть все]  
  • +/
    > BamBoo, GoCD, CruiseControl, TeamCity, etc.

    во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?

     
     
  • 2.11, Pofigist, 11:50, 15/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то платность становится препятствием только для гордых админов локалхоста. Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.
     
     
  • 3.12, лютый жабист__, 10:42, 16/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что ты сэкономишь, тебе в бонусы пойдёт. А у прогеров локалхоста вообще CI нет, см реплики Led
     
     
  • 4.17, пох, 10:57, 17/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что
    > ты сэкономишь, тебе в бонусы пойдёт.

    Серьезно? Куды резюм присылать? (ух я вам понаэкономлю! А что с этим работать будет нельзя - меня, после получения бонусов, никалебет)


     
  • 3.14, ALex_hha, 17:29, 16/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > Вообще-то платность становится препятствием только для гордых админов локалхоста.

    расскажите это пользователям венды, а то они не в курсе :D

    > Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.

    верно, но платность не исключает наличие уязвимостей, от слова совсем

     
  • 2.16, пох, 09:12, 17/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?

    за тим не скажу, а в круизе наверняка не находят - потому что не ищут, чего время-то тратить, оно ж насквозь гнилое все. Если у кого-то он untrusted код гоняет, то не надо искать уязвимости, надо листок с паролем у него от монитора отклеить. Пусть-ка помучается, 123 там было или qaz ;-)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor