安全附加组件中包含近250,000个安装列表中的安装
Jenkins项目的维护者发布了一项安全咨询,该咨询会突出显示开源自动化服务器20多个插件中的漏洞。
敦促DevOps团队检查咨询为了确保其连续的集成管道不会受到任何缺陷的影响,并在必要时更新其构建。
在现在绘制的错误列表中,有一个沙盒旁路漏洞影响脚本安全插件,具有近25万个主动装置。
一系列跨站脚本(XSS)漏洞也已被披露和分类git插件,,,,TIMESTAMPER插件, 和审核步道插件。
零日,但无需惊慌
最新的Jenkins安全咨询列出了三个影响Cryptomove插件,Literate插件和Subversion Release Manager插件的未拨打缺陷。
为了加密,一个OS命令注射错误可以允许使用工作/配置权限的用户在Jenkins Master上执行任意代码。
同样,对于识字,YAML解析器配置中的未列出的缺点也可以打开远程代码执行。
同时,Subversion Release Manager插件包含一个反映的XSS具有工作/配置权限的用户可以利用的漏洞。
但是,幸运的是,这三个插件的安装基础非常低。
詹金斯项目安全官员丹尼尔·贝克(Daniel Beck)告诉每日swbeplay2018官网ig。
“詹金斯项目获得了超过2500万个实例的匿名使用统计数据。在所有这些内容中,识字插件已安装在13个实例上,而Cryptomove插件仅在一个实例上安装。”
贝克补充说:“自2017年以来,Jenkins Project尚未发行Subversion Release Manager插件,使用统计数据表明,即使在当时,它也仅在1%的实例上使用。
“正如您所看到的,即使是采用数字非常低的插件也会在Jenkins安全过程中勤奋处理。”
Jenkins是一家开源自动化服务器,可帮助开发人员构建,测试和导航其构建。
DevOps平台由报道全球1500万开发人员。
