开发人员敦促保持其CI管道的顺序
詹金斯项目发布了一项安全咨询,敦促开发人员修补开源自动化服务器使用的插件中发现的各种漏洞。
已经发布了有关“中等”至“高”严重性的几个漏洞,从而影响了Jenkins插件。
受影响的最受欢迎的插件报告了约25,000个已报告的装置。安全咨询前宣布来自詹金斯项目的Wadeck Follonier。
受影响的Jenkins插件包括Amazon EC2插件,GitLab钩插件,CloudBees插件的健康顾问,Redgate SQL Change Change Automation插件,机器人框架插件和Sounds Plugin。
“除非另有说明,否则所有先前的[插件]版本都被认为受这些漏洞的影响。”咨询,昨天(1月15日)出版。
建议用户更新到最新的插件版本,这些插件版本具有突出显示的漏洞。
一个XML外部实体((xxe)例如,缺陷存在于机器人框架插件,一个机器人过程自动化的测试套件,具有7,743个安装Jenkins插件站点。
“这允许用户[]能够控制输入文件发布机器人框架后构建步骤让Jenkins解析一个精心设计的文件,该文件使用外部实体从Jenkins Master中提取秘密,服务器端请求伪造,或拒绝服务攻击。CVE-2020-2092,作为“高”严重性。
该咨询公司补充说,该插件的最新版本2.0.1通过“禁用其XML解析器的外部实体分辨率”来防止XXE攻击。
Jenkins是一家开源自动化服务器,可帮助开发人员构建,测试和导航其构建。DevOps平台由报道全球1500万开发人员。
插件协助服务器在整个组织跨多个平台的开发周期中实现连续集成(CI),并根据可用附加组件的多样性提供灵活性。
“我们努力及时解决詹金斯和插件中的所有安全漏洞,”它的网站beplay体育能用吗。
“但是,詹金斯项目的结构为插件维护者提供了很多自主权,并且插件的数量和多样性使得这是不可能的。”
如果插件很脆弱,Jenkins项目将与相关维护者联系并要求修复。如果没有解决方案,则发布了建议的解决方法。如果漏洞也被认为是严重的,则该插件将不再发布。
詹金斯项目的安全官丹尼尔·贝克(Daniel Beck)告诉他说:“借助詹金斯(Jenkins)和詹金斯(Jenkins)一样大的插件生态系统,有1,500多个插件,一些维护者能够比其他插件更快地响应。”每日swbeplay2018官网ig。
“例如,对管道/脚本安全性相关的漏洞的安全修复(影响许多用户)通常在短短2-3周内提供。
他补充说:“大多数问题都在报告后三个月内发布。”
当前没有用于影响GitLab钩和声音的安全错误的修复程序 - 插件15,109和830安装, 分别。贝克说,声音插件有一个修复程序。
他说:“最初报告的严重性比最终的严重程度要低得多,因此我们决定现在宣布该问题,而不是等待解决方案。”
GitLab挂钩插件,版本1.4.2及更早,具有一个跨站点脚本脆弱性((XSS),这可以使攻击者由于插件中的问题而可以作为用户执行操作build_now端点。
建议用户停止使用此插件。
贝克说:“吉特拉布(Gitlab)钩子取决于过时的运行时,该运行时间正在计划进行贬值和从分销中删除。”
“无论如何,可能很快就会删除该插件。”
漏洞的完整详细信息可以在詹金斯安全咨询。
每日swbeplay2018官网ig已与詹金斯项目联系以寻求其他评论。
