‘我们认为,宣布没有解决的漏洞是解决困难问题的最佳解决方案”
开源Devops平台Jenkins警告用户未拨打的安全漏洞,影响了十多个插件。
领导开源Automation Server,Jenkins提供了数千个插件来支持构建,部署和自动化项目。
该组织的最新安全咨询总共列出了27个插件漏洞,其中有5个被认为是“高”影响,其中大多数仍未拨动。
击掌
首先在高影响错误的列表中 - 所有这些都在写作时都没有结束 - 是跨站点伪造((CSRF)Coverity插件中的漏洞(CVE-2022-36920)。
发现该插件无法在HTTP端点上执行权限检查。此外,此HTTP端点不需要发布请求,打开了CSRF攻击的大门。
你可能还喜欢完整的ftp路径遍历缺陷允许攻击者删除服务器文件
同时,在CLIF性能测试插件(CVE-2022-36894)中,任意文件写入漏洞允许具有“整体/读取”权限的攻击者,可以在Jenkins Controller文件系统上使用攻击者指定的内容创建或替换任意文件。
存储跨站脚本(XS)在动态扩展选择参数插件(CVE-2022-36902)和Maven Metadata插件(CVE-2022-36905)中也发现了缺陷,以及一个反映XSSLucene-Search插件(CVE-2022-36922)中的漏洞。
说出这个词
在最新的Jenkins安全咨询中列出的27个插件漏洞中,有18个漏洞仍未拨打,并且有效地是有效的零日。
詹金斯安全官Wadeck Follonier告诉团队决定将这些问题透露给社区以代替任何解决方案的决定每日swbeplay2018官网ig:“詹金斯安全团队的主要目标是确保詹金斯插件生态系统尽可能安全。
“With a plugin ecosystem as big as ours, it isn’t a surprise that not every plugin is maintained all the time, and maintainers sometimes cannot be contacted, do not respond, or tell us they’re no longer able to maintain the plugin.
“在那些情况下,我们深入分析漏洞,写出详细的描述,并在安全咨询中宣布与其他固定漏洞的安全咨询。”
Follonier补充说:“我们相信,宣布没有修复的漏洞是解决困难问题的最佳解决方案,因为它允许管理员仔细考虑他们继续使用受影响的插件。
“除了詹金斯咨询邮寄列表和我们的社交渠道,我们在发布咨询后直接在UI上直接在UI上的漏洞通知管理员,因此每个Jenkins管理员都会了解这一点。
Follonier说:“我们向Jenkins管理员提出的建议是阅读我们的安全咨询,以了解它们是否受到影响。”“很多漏洞例如,仅与其他人无法访问的单个管理员用户无关。
“当然,如果他们不确定是否受到影响,最安全的事情就是卸载插件。”
