Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

В более чем 100 плагинах Jenkins обнаружены уязвимости

06/05/19

JenkinsСвыше сотни плагинов для открытого инструмента непрерывной интеграции ПО Jenkins содержат различные уязвимости в основном связанные с хранением паролей в незашифрованном виде, а также CSRF-баги, позволяющие украсть учетные данные или осуществить CSRF-атаки. Проблемы выявил специалист компании NCC Group Виктор Газдаг (Viktor Gazdag), проанализировавший несколько сотен плагинов Jenkins.

Как пояснил эксперт, хотя Jenkins шифрует пароли в файле credentials.xml, некоторые разработчики плагинов используют другие методы хранения учетных данных. В большинстве случаев данные решения не предполагают никакого шифрования. Кроме того, некоторые web-формы, в которых пользователи вводят учетные данные, допускают утечку паролей или секретных токенов.

CSRF-уязвимости связаны с функциями плагинов, с помощью которых пользователи могут проверить учетные данные и подключиться к серверу. В основном они существует в связи с тем, что разработчики не реализовывают POST-запросы, предотвращающие атаки с использованием CSRF токена.

В последние два года разработчики Jenkins выпустили несколько предупреждений , описывающих уязвимости в различных плагинах, в том числе ряд багов, выявленных Газдагом.

Уязвимые плагины взаимодействуют с широким кругом сервисов, включая Twitter, AWS, VMware и Azure. В большинстве случаев ПО было создано сторонними разработчиками, не имеющими отношения к вендору, чье программное обеспечение используется плагином.

Как отмечается, авторы некоторых плагинов уже устранили баги в своем ПО, однако многие из них до сих пор остаются уязвимыми. В свою очередь, разработчики Jenkins опубликовали обширный список плагинов, уязвимости в которых все еще остаются неисправленными.

Темы:УгрозыJenkinsплагины
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...