06/05/19
Свыше сотни плагинов для открытого инструмента непрерывной интеграции ПО Jenkins содержат различные уязвимости в основном связанные с хранением паролей в незашифрованном виде, а также CSRF-баги, позволяющие украсть учетные данные или осуществить CSRF-атаки. Проблемы выявил специалист компании NCC Group Виктор Газдаг (Viktor Gazdag), проанализировавший несколько сотен плагинов Jenkins.
Как пояснил эксперт, хотя Jenkins шифрует пароли в файле credentials.xml, некоторые разработчики плагинов используют другие методы хранения учетных данных. В большинстве случаев данные решения не предполагают никакого шифрования. Кроме того, некоторые web-формы, в которых пользователи вводят учетные данные, допускают утечку паролей или секретных токенов.
CSRF-уязвимости связаны с функциями плагинов, с помощью которых пользователи могут проверить учетные данные и подключиться к серверу. В основном они существует в связи с тем, что разработчики не реализовывают POST-запросы, предотвращающие атаки с использованием CSRF токена.
В последние два года разработчики Jenkins выпустили несколько предупреждений , описывающих уязвимости в различных плагинах, в том числе ряд багов, выявленных Газдагом.
Уязвимые плагины взаимодействуют с широким кругом сервисов, включая Twitter, AWS, VMware и Azure. В большинстве случаев ПО было создано сторонними разработчиками, не имеющими отношения к вендору, чье программное обеспечение используется плагином.
Как отмечается, авторы некоторых плагинов уже устранили баги в своем ПО, однако многие из них до сих пор остаются уязвимыми. В свою очередь, разработчики Jenkins опубликовали обширный список плагинов, уязвимости в которых все еще остаются неисправленными.
