Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

В более чем 100 плагинах Jenkins обнаружены уязвимости

06/05/19

JenkinsСвыше сотни плагинов для открытого инструмента непрерывной интеграции ПО Jenkins содержат различные уязвимости в основном связанные с хранением паролей в незашифрованном виде, а также CSRF-баги, позволяющие украсть учетные данные или осуществить CSRF-атаки. Проблемы выявил специалист компании NCC Group Виктор Газдаг (Viktor Gazdag), проанализировавший несколько сотен плагинов Jenkins.

Как пояснил эксперт, хотя Jenkins шифрует пароли в файле credentials.xml, некоторые разработчики плагинов используют другие методы хранения учетных данных. В большинстве случаев данные решения не предполагают никакого шифрования. Кроме того, некоторые web-формы, в которых пользователи вводят учетные данные, допускают утечку паролей или секретных токенов.

CSRF-уязвимости связаны с функциями плагинов, с помощью которых пользователи могут проверить учетные данные и подключиться к серверу. В основном они существует в связи с тем, что разработчики не реализовывают POST-запросы, предотвращающие атаки с использованием CSRF токена.

В последние два года разработчики Jenkins выпустили несколько предупреждений , описывающих уязвимости в различных плагинах, в том числе ряд багов, выявленных Газдагом.

Уязвимые плагины взаимодействуют с широким кругом сервисов, включая Twitter, AWS, VMware и Azure. В большинстве случаев ПО было создано сторонними разработчиками, не имеющими отношения к вендору, чье программное обеспечение используется плагином.

Как отмечается, авторы некоторых плагинов уже устранили баги в своем ПО, однако многие из них до сих пор остаются уязвимыми. В свою очередь, разработчики Jenkins опубликовали обширный список плагинов, уязвимости в которых все еще остаются неисправленными.

Темы:УгрозыJenkinsплагины
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...