The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в системе непрерывной интеграции Jenkins

13.11.2016 09:39

Разработчики инструментария непрерывной интеграции Jenkins предупредили о выходе 16 ноября корректирующего релиза, в котором будет устранена опасная уязвимость, позволяющая удалённому атакующему без прохождения аутентификации выполнить свой код на сервере. Суть уязвимости в том, что через передачу сериализированных Java-объектов в Jenkins CLI можно добиться обращения к LDAP-серверу атакующего. Ответ от LDAP-сервера может содержать сериализированный код, который будет выполнен в обход механизмов защиты.

В качестве временной меры защиты до выхода обновления всем администраторам публичных серверов Jenkins рекомендуется временно заблокировать интерфейс CLI, воспользовавшись скриптом, опубликованным для временной защиты от прошлогодней критической уязвимости. Скрипт следует запустить через меню Manage Jenkins в секции Script Console, после чего добавить в автозапуск ($JENKINS_HOME/init.groovy.d/cli-shutdown.groovy) до применения обновления с устранением уязвимости. Другим временным способом защиты является блокировка доступа к страницам "/cli" на стороне http-сервера.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  3. OpenNews: Первый релиз Jenkins после форка. Oracle и Sonatype форсируют развитие Hudson
  4. OpenNews: Разработчики Hudson проголосовали за переименование проекта в Jenkins
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45485-jenkins
Ключевые слова: jenkins
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:10, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пф.... https://hackage.haskell.org/package/sproxy
     
  • 1.2, rshadow (ok), 12:04, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Слава богу у нас теперь гитхаб и гитлаб есть.
     
     
  • 2.7, deadfood (ok), 13:49, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    и что же из них умеет собирать код?
     
     
  • 3.8, Аноним (-), 14:44, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    GitLab вроде умеет.
     

  • 1.3, Не нужно (?), 12:11, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Сколько юзали чудо жабье у себя в конторе, столько плевались. Утешали себя тем, что альтернативы ещё хуже. А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо.
     
     
  • 2.4, Аноним (-), 12:33, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шило на мыло, было чудо жабье, стало чудо-руби, оперативы жрать меньше не стало
     
     
  • 3.5, Не нужно (?), 12:59, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Гитлаб неиллюзорно жручий до памяти, это правда. Для нашей конторы аж целый гиг пришлось ему выделить. Но память жрётся только на основном сервере, а на билд-нодах запущен только маленький демон на Go. https://gitlab.com/gitlab-org/gitlab-ci-multi-runner В отличие от сабжа, у которого жабий слейв часто отжирает больше, чем сам билд.
     
     
  • 4.13, Аноним (-), 21:18, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > гиг пришлось ему выделить. Но память жрётся только на основном сервере,
    > а на билд-нодах запущен только маленький демон на Go.

    Им не хватает фичреквеста "а теперь перепишите и все остальное нормально" :)

     
     
  • 5.17, KonstantinB (ok), 00:18, 14/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ай, это не то место, где это важно. Если бы на каждой билд-ноде столько жрало, это была бы проблема. А на один сервер гиг выделить - это что же за контора такая, где это вообще может быть проблемой, стоящей хоть минуты обсуждения? Та, которая дырокол в аренду берет?
     
     
  • 6.20, . (?), 03:46, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Иди в дупу!
    Если вы там здрасти мир! строгаете то да. А я летом обновил сервак с 8GB до 16GB и всё равно не скажу что летает :(  
    omnibus от GitLab, всё на SSD-ях.
     
  • 2.6, Аноним (-), 13:20, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Drone-CI вроде не жрет.
     
  • 2.18, Аноним (-), 13:28, 14/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты, а тот – третий, при этом матричный, оно не подходит от слова "совсем".
     
     
  • 3.19, пани Икра (?), 21:49, 14/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты

    Всё это есть в гитлабе. Матриц вот и правда нет.

     

  • 1.12, Аноним (-), 21:17, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Ответ от LDAP-сервера может содержать сериализированный код,
    > который будет выполнен в обход механизмов защиты.

    Значит, говорите, в пруду утка, в утке яйцо, в яйце жаба, в жабе LDAP, а в LDAP-е код... ух нифига себе сказочку завернули.

     
  • 1.14, ALex_hha (ok), 22:17, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо

    по сравнению с Jenkins еще мало что умеет, но активно развивается. Так глядишь и через пару тройку лет, можно будет заменить.

     
     
  • 2.15, Аноним (-), 22:59, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала пусть руби рельсы
     
     
  • 3.16, Аноним (-), 22:59, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Сначала пусть руби рельсы

    Выпилят

     
     
  • 4.21, . (?), 03:48, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нереально. :( Это будет новый - другой продугд :(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру