The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"Серия уязвимостей в системе непрерывной интеграции Jenkins"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от opennews (??) on 13-Окт-17, 11:35 
Разработчики инструментария непрерывной интеграции  Jenkins (http://www.jenkins-ci.org) представили (https://jenkins.io/blog/2017/10/11/security-updates/) корректирующие выпуски 2.84 и 2.73.2, в который устранено 7 уязвимостей (http://seclists.org/oss-sec/2017/q4/59). Кроме того, выпущены новые версии плагинов для интеграции с Swarm и Maven, в которых также устранены уязвимости (https://jenkins.io/security/advisory/2017-10-11/). Уязвимость выявлена и в плагине Speaks, но из-за отсутствия исправления данный плагин рекомендован к удалению.


Наиболее опасная  проблема в Jenkins позволяет злоумышленнику с правами агента выполнить произвольные shell-команды на master-сервере. Уязвимость в  плагине Speaks  позволяет выполнить код в Jenkins JVM, при наличии полномочий создание или настройки заданий, независимо от наличия прав на их запуск. Остальные проблемы связаны с утечкой информации или инициированием отказа в обслуживании.

URL: https://jenkins.io/blog/2017/10/11/security-updates/
Новость: http://www.opennet.ru/opennews/art.shtml?num=47373

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +1 +/
Сообщение от Аноним (??) on 13-Окт-17, 11:35 
Сколько помню, агент-мастер соединение всегда было дырявым. Не могут WINдузятные пчёлы осилить вменяемую политику безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  –5 +/
Сообщение от Led (ok) on 13-Окт-17, 21:25 
Хипстота должна страдать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от Аноним (??) on 14-Окт-17, 01:40 
Альтернативные способы автоматизации сборки и тестирования в студию
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  –1 +/
Сообщение от Аноним (??) on 14-Окт-17, 03:37 
Заход красивый, но бесполеный. Ответа не будет. т.к. думающие чужими лозунгами себе не принадлежат.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от Аноним (??) on 14-Окт-17, 06:40 
BamBoo, GoCD, CruiseControl, TeamCity, etc.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от Lolwat on 14-Окт-17, 19:36 
Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не работал. Нужен вброс полезной инфы от тех кто работал с другими в прод.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +1 +/
Сообщение от freehck email(ok) on 15-Окт-17, 03:00 
Инструмент выбирается под задачу. Напишите, чем Вы не довольны в Jenkins, попробуем порешать их или посоветуем, куда смотреть.

Вот тут советуют TeamCity как замена Jenkins, но вот для моих задач они оказались равноценны (вопрос проприетарности даже не рассматривался).

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от VoDA (ok) on 16-Окт-17, 17:25 
> Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не
> работал. Нужен вброс полезной инфы от тех кто работал с другими
> в прод.

В GitLab встроили свой CI движок. Довольно удобен для сборки по коммиту и задач CI.

Для построения CI/CD цепочки лучше смотреть на выделенные сервера типа Jenkins, etc.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от пох on 17-Окт-17, 09:09 
> Нужен вброс полезной инфы от тех кто работал с другими в прод.

ок, открывайте блокнотик, берите красную ручку, записывайте: CruiseControl - чудовищное, феерическое жабье дерьмо.

Стоит разок поставить для какого-нибудь большого проекта только ради того, чтобы искренне полюбить jenkins.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от ALex_hha (ok) on 14-Окт-17, 15:14 
> BamBoo, GoCD, CruiseControl, TeamCity, etc.

во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от Pofigist on 15-Окт-17, 11:50 
Вообще-то платность становится препятствием только для гордых админов локалхоста. Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от лютый жабист__ on 16-Окт-17, 10:42 
Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что ты сэкономишь, тебе в бонусы пойдёт. А у прогеров локалхоста вообще CI нет, см реплики Led
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  –1 +/
Сообщение от пох on 17-Окт-17, 10:57 
> Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что
> ты сэкономишь, тебе в бонусы пойдёт.

Серьезно? Куды резюм присылать? (ух я вам понаэкономлю! А что с этим работать будет нельзя - меня, после получения бонусов, никалебет)


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +2 +/
Сообщение от ALex_hha (ok) on 16-Окт-17, 17:29 
> Вообще-то платность становится препятствием только для гордых админов локалхоста.

расскажите это пользователям венды, а то они не в курсе :D

> Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.

верно, но платность не исключает наличие уязвимостей, от слова совсем

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Серия уязвимостей в системе непрерывной интеграции Jenkins"  +/
Сообщение от пох on 17-Окт-17, 09:12 
> во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?

за тим не скажу, а в круизе наверняка не находят - потому что не ищут, чего время-то тратить, оно ж насквозь гнилое все. Если у кого-то он untrusted код гоняет, то не надо искать уязвимости, надо листок с паролем у него от монитора отклеить. Пусть-ка помучается, 123 там было или qaz ;-)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor