Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

В более чем 100 плагинах Jenkins обнаружены уязвимости

06/05/19

JenkinsСвыше сотни плагинов для открытого инструмента непрерывной интеграции ПО Jenkins содержат различные уязвимости в основном связанные с хранением паролей в незашифрованном виде, а также CSRF-баги, позволяющие украсть учетные данные или осуществить CSRF-атаки. Проблемы выявил специалист компании NCC Group Виктор Газдаг (Viktor Gazdag), проанализировавший несколько сотен плагинов Jenkins.

Как пояснил эксперт, хотя Jenkins шифрует пароли в файле credentials.xml, некоторые разработчики плагинов используют другие методы хранения учетных данных. В большинстве случаев данные решения не предполагают никакого шифрования. Кроме того, некоторые web-формы, в которых пользователи вводят учетные данные, допускают утечку паролей или секретных токенов.

CSRF-уязвимости связаны с функциями плагинов, с помощью которых пользователи могут проверить учетные данные и подключиться к серверу. В основном они существует в связи с тем, что разработчики не реализовывают POST-запросы, предотвращающие атаки с использованием CSRF токена.

В последние два года разработчики Jenkins выпустили несколько предупреждений , описывающих уязвимости в различных плагинах, в том числе ряд багов, выявленных Газдагом.

Уязвимые плагины взаимодействуют с широким кругом сервисов, включая Twitter, AWS, VMware и Azure. В большинстве случаев ПО было создано сторонними разработчиками, не имеющими отношения к вендору, чье программное обеспечение используется плагином.

Как отмечается, авторы некоторых плагинов уже устранили баги в своем ПО, однако многие из них до сих пор остаются уязвимыми. В свою очередь, разработчики Jenkins опубликовали обширный список плагинов, уязвимости в которых все еще остаются неисправленными.

Темы:УгрозыJenkinsплагины
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...