连续集成软件中的脆弱性可能会使您的管道暴露于黑客
詹金斯(Jenkins)的开源自动化工具中的一个关键漏洞可以通过使用专门制作的URL绕过许可检查。
詹金斯(Jenkins)使用HTTP请求处理的Stbeplay体育能用吗apler Web框架,该框架使用反射将传入的Web请求发送到控制器代码。
这意味着任何以GET并包含字符串和整数参数开头的公共方法都暴露于Web服务器。beplay体育能用吗
因为这是一个常见的命名约定,所以这导致多个内部詹金斯方法无意中暴露了。
这一点的确切影响尚不清楚。该咨询指出,代码执行可能是可能的结果 - 尽管经过仔细检查,但这似乎是最坏的情况。
“要澄清,我们解决的漏洞与任意代码执行无关,而是詹金斯安全团队发现的一个问题,允许远程客户端调用现有的詹金斯代码的一小部分,”丹尼尔·贝克斯(Daniel Beck)安全官员告诉每日swbeplay2018官网ig在电子邮件中。
“尽管已知的影响非常有限,但我们认为脆弱性存在的层面以及其潜在的分数需要更高的分数。”
这些潜在的攻击包括未经身份验证的用户能够在使用内置服务器运行时会话无效,以及具有整体/读取权限的用户能够在内存中创建新的用户对象。
咨询读:“鉴于我们目前尚不清楚的其他攻击表面巨大的攻击表面,在没有适用此修复程序的詹金斯发行版中可能会有其他攻击。
“这反映在我们分配给这个问题的高分子中,而不是通过已知问题将分数限制为影响。”
贝克补充说:“詹金斯用户应始终保持最新的实例。在这种情况下,我们首次同时发布了两个LTS行的更新,因此Admins可以应用更新而无需经过主要版本跳跃。
“我们努力及时解决詹金斯和插件中的所有安全漏洞。”
Apache Struts还通过OGNL库使用了反射。
近年来,支柱遭受了许多严重的安全缺陷。在2017年,该框架中的脆弱性被利用为暴露细节高达1.48亿Equifax客户。
另一个缺陷,2018年8月揭晓,可能导致远程代码执行。
这些问题强调了将反射与不受信任的数据一起使用的危险,并且应用架构师将做得很好,以避免这种不安全的做法。
