The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.11.2016 09:39  Критическая уязвимость в системе непрерывной интеграции Jenkins

Разработчики инструментария непрерывной интеграции Jenkins предупредили о выходе 16 ноября корректирующего релиза, в котором будет устранена опасная уязвимость, позволяющая удалённому атакующему без прохождения аутентификации выполнить свой код на сервере. Суть уязвимости в том, что через передачу сериализированных Java-объектов в Jenkins CLI можно добиться обращения к LDAP-серверу атакующего. Ответ от LDAP-сервера может содержать сериализированный код, который будет выполнен в обход механизмов защиты.

В качестве временной меры защиты до выхода обновления всем администраторам публичных серверов Jenkins рекомендуется временно заблокировать интерфейс CLI, воспользовавшись скриптом, опубликованным для временной защиты от прошлогодней критической уязвимости. Скрипт следует запустить через меню Manage Jenkins в секции Script Console, после чего добавить в автозапуск ($JENKINS_HOME/init.groovy.d/cli-shutdown.groovy) до применения обновления с устранением уязвимости. Другим временным способом защиты является блокировка доступа к страницам "/cli" на стороне http-сервера.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  3. OpenNews: Первый релиз Jenkins после форка. Oracle и Sonatype форсируют развитие Hudson
  4. OpenNews: Разработчики Hudson проголосовали за переименование проекта в Jenkins
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: jenkins
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 10:10, 13/11/2016 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    Пф.... https://hackage.haskell.org/package/sproxy
     
  • 1.2, rshadow, 12:04, 13/11/2016 [ответить] [смотреть все]    [к модератору]
  • –6 +/
    Слава богу у нас теперь гитхаб и гитлаб есть.
     
     
  • 2.7, deadfood, 13:49, 13/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +4 +/
    и что же из них умеет собирать код?
     
     
  • 3.8, Аноним, 14:44, 13/11/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    GitLab вроде умеет.
     
  • 1.3, Не нужно, 12:11, 13/11/2016 [ответить] [смотреть все]    [к модератору]
  • +3 +/
    Сколько юзали чудо жабье у себя в конторе, столько плевались. Утешали себя тем, что альтернативы ещё хуже. А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо.
     
     
  • 2.4, Аноним, 12:33, 13/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Шило на мыло, было чудо жабье, стало чудо-руби, оперативы жрать меньше не стало
     
     
  • 3.5, Не нужно, 12:59, 13/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Гитлаб неиллюзорно жручий до памяти, это правда Для нашей конторы аж целый гиг ... весь текст скрыт [показать]
     
     
  • 4.13, Аноним, 21:18, 13/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Им не хватает фичреквеста а теперь перепишите и все остальное нормально ... весь текст скрыт [показать]
     
     
  • 5.17, KonstantinB, 00:18, 14/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ай, это не то место, где это важно Если бы на каждой билд-ноде столько жрало, э... весь текст скрыт [показать]
     
     
  • 6.20, ., 03:46, 15/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Иди в дупу Если вы там здрасти мир строгаете то да А я летом обновил сервак ... весь текст скрыт [показать]
     
  • 2.6, Аноним, 13:20, 13/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Drone-CI вроде не жрет.
     
  • 2.18, Аноним, 13:28, 14/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, пани Икра, 21:49, 14/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты

    Всё это есть в гитлабе. Матриц вот и правда нет.

     
  • 1.12, Аноним, 21:17, 13/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Значит, говорите, в пруду утка, в утке яйцо, в яйце жаба, в жабе LDAP, а в LDAP-... весь текст скрыт [показать]
     
  • 1.14, ALex_hha, 22:17, 13/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо

    по сравнению с Jenkins еще мало что умеет, но активно развивается. Так глядишь и через пару тройку лет, можно будет заменить.

     
     
  • 2.15, Аноним, 22:59, 13/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Сначала пусть руби рельсы
     
     
  • 3.16, Аноним, 22:59, 13/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > Сначала пусть руби рельсы

    Выпилят

     
     
  • 4.21, ., 03:48, 15/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Нереально. :( Это будет новый - другой продугд :(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor