Серия уязвимостей в системе непрерывной интеграции Jenkins

13 октября 2017 года

Wikinews-logo-ru.svg

Разработчики инструментария непрерывной интеграции Jenkins представили корректирующие выпуски 2.84 и 2.73.2, в который устранено 7 уязвимостей. Кроме того, выпущены новые версии плагинов для интеграции с Swarm и Maven, в которых также устранены уязвимости. Уязвимость выявлена и в плагине Speaks, но из-за отсутствия исправления данный плагин рекомендован к удалению.

Наиболее опасная проблема в Jenkins позволяет злоумышленнику с правами агента выполнить произвольные shell-команды на master-сервере. Уязвимость в плагине Speaks позволяет выполнить код в Jenkins JVM, при наличии полномочий создание или настройки заданий, независимо от наличия прав на их запуск. Остальные проблемы связаны с утечкой информации или инициированием отказа в обслуживании.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Серия уязвимостей в системе непрерывной интеграции Jenkins», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Серия уязвимостей в системе непрерывной интеграции Jenkins