The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Серия уязвимостей в системе непрерывной интеграции Jenkins

13.10.2017 08:17

Разработчики инструментария непрерывной интеграции Jenkins представили корректирующие выпуски 2.84 и 2.73.2, в который устранено 7 уязвимостей. Кроме того, выпущены новые версии плагинов для интеграции с Swarm и Maven, в которых также устранены уязвимости. Уязвимость выявлена и в плагине Speaks, но из-за отсутствия исправления данный плагин рекомендован к удалению.

Наиболее опасная проблема в Jenkins позволяет злоумышленнику с правами агента выполнить произвольные shell-команды на master-сервере. Уязвимость в плагине Speaks позволяет выполнить код в Jenkins JVM, при наличии полномочий создание или настройки заданий, независимо от наличия прав на их запуск. Остальные проблемы связаны с утечкой информации или инициированием отказа в обслуживании.

  1. Главная ссылка к новости (https://jenkins.io/blog/2017/1...)
  2. OpenNews: Критическая уязвимость в системе непрерывной интеграции Jenkins
  3. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  4. OpenNews: Первый релиз Jenkins после форка. Oracle и Sonatype форсируют развитие Hudson
  5. OpenNews: Разработчики Hudson проголосовали за переименование проекта в Jenkins
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47373-jenkins
Ключевые слова: jenkins
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:35, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сколько помню, агент-мастер соединение всегда было дырявым. Не могут WINдузятные пчёлы осилить вменяемую политику безопасности.
     
  • 1.2, Led (ok), 21:25, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Хипстота должна страдать.
     
     
  • 2.3, Аноним (-), 01:40, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернативные способы автоматизации сборки и тестирования в студию
     
     
  • 3.4, Аноним (-), 03:37, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Заход красивый, но бесполеный. Ответа не будет. т.к. думающие чужими лозунгами себе не принадлежат.
     
  • 3.5, Аноним (-), 06:40, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    BamBoo, GoCD, CruiseControl, TeamCity, etc.
     
  • 3.8, Lolwat (?), 19:36, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не работал. Нужен вброс полезной инфы от тех кто работал с другими в прод.
     
     
  • 4.10, freehck (ok), 03:00, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Инструмент выбирается под задачу. Напишите, чем Вы не довольны в Jenkins, попробуем порешать их или посоветуем, куда смотреть.

    Вот тут советуют TeamCity как замена Jenkins, но вот для моих задач они оказались равноценны (вопрос проприетарности даже не рассматривался).

     
  • 4.13, VoDA (ok), 17:25, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не
    > работал. Нужен вброс полезной инфы от тех кто работал с другими
    > в прод.

    В GitLab встроили свой CI движок. Довольно удобен для сборки по коммиту и задач CI.

    Для построения CI/CD цепочки лучше смотреть на выделенные сервера типа Jenkins, etc.


     
  • 4.15, пох (?), 09:09, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужен вброс полезной инфы от тех кто работал с другими в прод.

    ок, открывайте блокнотик, берите красную ручку, записывайте: CruiseControl - чудовищное, феерическое жабье дерьмо.

    Стоит разок поставить для какого-нибудь большого проекта только ради того, чтобы искренне полюбить jenkins.

     

  • 1.7, ALex_hha (ok), 15:14, 14/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > BamBoo, GoCD, CruiseControl, TeamCity, etc.

    во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?

     
     
  • 2.11, Pofigist (?), 11:50, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то платность становится препятствием только для гордых админов локалхоста. Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.
     
     
  • 3.12, лютый жабист__ (?), 10:42, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что ты сэкономишь, тебе в бонусы пойдёт. А у прогеров локалхоста вообще CI нет, см реплики Led
     
     
  • 4.17, пох (?), 10:57, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что
    > ты сэкономишь, тебе в бонусы пойдёт.

    Серьезно? Куды резюм присылать? (ух я вам понаэкономлю! А что с этим работать будет нельзя - меня, после получения бонусов, никалебет)


     
  • 3.14, ALex_hha (ok), 17:29, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вообще-то платность становится препятствием только для гордых админов локалхоста.

    расскажите это пользователям венды, а то они не в курсе :D

    > Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.

    верно, но платность не исключает наличие уязвимостей, от слова совсем

     
  • 2.16, пох (?), 09:12, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?

    за тим не скажу, а в круизе наверняка не находят - потому что не ищут, чего время-то тратить, оно ж насквозь гнилое все. Если у кого-то он untrusted код гоняет, то не надо искать уязвимости, надо листок с паролем у него от монитора отклеить. Пусть-ка помучается, 123 там было или qaz ;-)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру