The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.11.2016 09:39  Критическая уязвимость в системе непрерывной интеграции Jenkins

Разработчики инструментария непрерывной интеграции Jenkins предупредили о выходе 16 ноября корректирующего релиза, в котором будет устранена опасная уязвимость, позволяющая удалённому атакующему без прохождения аутентификации выполнить свой код на сервере. Суть уязвимости в том, что через передачу сериализированных Java-объектов в Jenkins CLI можно добиться обращения к LDAP-серверу атакующего. Ответ от LDAP-сервера может содержать сериализированный код, который будет выполнен в обход механизмов защиты.

В качестве временной меры защиты до выхода обновления всем администраторам публичных серверов Jenkins рекомендуется временно заблокировать интерфейс CLI, воспользовавшись скриптом, опубликованным для временной защиты от прошлогодней критической уязвимости. Скрипт следует запустить через меню Manage Jenkins в секции Script Console, после чего добавить в автозапуск ($JENKINS_HOME/init.groovy.d/cli-shutdown.groovy) до применения обновления с устранением уязвимости. Другим временным способом защиты является блокировка доступа к страницам "/cli" на стороне http-сервера.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  3. OpenNews: Первый релиз Jenkins после форка. Oracle и Sonatype форсируют развитие Hudson
  4. OpenNews: Разработчики Hudson проголосовали за переименование проекта в Jenkins
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: jenkins
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:10, 13/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Пф.... https://hackage.haskell.org/package/sproxy
     
  • 1.2, rshadow (ok), 12:04, 13/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    Слава богу у нас теперь гитхаб и гитлаб есть.
     
     
  • 2.7, deadfood (ok), 13:49, 13/11/2016 [^] [ответить]    [к модератору]
  • +4 +/
    и что же из них умеет собирать код?
     
     
  • 3.8, Аноним (-), 14:44, 13/11/2016 [^] [ответить]    [к модератору]
  • +/
    GitLab вроде умеет.
     
  • 1.3, Не нужно (?), 12:11, 13/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    Сколько юзали чудо жабье у себя в конторе, столько плевались. Утешали себя тем, что альтернативы ещё хуже. А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо.
     
     
  • 2.4, Аноним (-), 12:33, 13/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Шило на мыло, было чудо жабье, стало чудо-руби, оперативы жрать меньше не стало
     
     
  • 3.5, Не нужно (?), 12:59, 13/11/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Гитлаб неиллюзорно жручий до памяти, это правда. Для нашей конторы аж целый гиг пришлось ему выделить. Но память жрётся только на основном сервере, а на билд-нодах запущен только маленький демон на Go. https://gitlab.com/gitlab-org/gitlab-ci-multi-runner В отличие от сабжа, у которого жабий слейв часто отжирает больше, чем сам билд.
     
     
  • 4.13, Аноним (-), 21:18, 13/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Им не хватает фичреквеста а теперь перепишите и все остальное нормально ... весь текст скрыт [показать]
     
     
  • 5.17, KonstantinB (ok), 00:18, 14/11/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ай, это не то место, где это важно. Если бы на каждой билд-ноде столько жрало, это была бы проблема. А на один сервер гиг выделить - это что же за контора такая, где это вообще может быть проблемой, стоящей хоть минуты обсуждения? Та, которая дырокол в аренду берет?
     
     
  • 6.20, . (?), 03:46, 15/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Иди в дупу!
    Если вы там здрасти мир! строгаете то да. А я летом обновил сервак с 8GB до 16GB и всё равно не скажу что летает :(  
    omnibus от GitLab, всё на SSD-ях.
     
  • 2.6, Аноним (-), 13:20, 13/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Drone-CI вроде не жрет.
     
  • 2.18, Аноним (-), 13:28, 14/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты, а тот – третий, при этом матричный, оно не подходит от слова "совсем".
     
     
  • 3.19, пани Икра (?), 21:49, 14/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты

    Всё это есть в гитлабе. Матриц вот и правда нет.

     
  • 1.12, Аноним (-), 21:17, 13/11/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Значит, говорите, в пруду утка, в утке яйцо, в яйце жаба, в жабе LDAP, а в LDAP-... весь текст скрыт [показать]
     
  • 1.14, ALex_hha (ok), 22:17, 13/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо

    по сравнению с Jenkins еще мало что умеет, но активно развивается. Так глядишь и через пару тройку лет, можно будет заменить.

     
     
  • 2.15, Аноним (-), 22:59, 13/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Сначала пусть руби рельсы
     
     
  • 3.16, Аноним (-), 22:59, 13/11/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Сначала пусть руби рельсы

    Выпилят

     
     
  • 4.21, . (?), 03:48, 15/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Нереально. :( Это будет новый - другой продугд :(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor