The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Критическая уязвимость в системе непрерывной интеграции Jenkins"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в системе непрерывной интеграции Jenkins"  +/
Сообщение от opennews (??) on 13-Ноя-16, 10:10 
Разработчики инструментария непрерывной интеграции  Jenkins (http://www.jenkins-ci.org) предупредили (https://jenkins.io/blog/2016/11/12/addressing-remote-vulnera.../) о выходе 16 ноября корректирующего релиза, в котором будет устранена опасная уязвимость (https://groups.google.com/forum/#!msg/jenkinsci-advisories/-...), позволяющая удалённому атакующему без прохождения аутентификации выполнить свой код на сервере. Суть уязвимости в том, что через передачу сериализированных Java-объектов в Jenkins CLI можно добиться обращения к LDAP-серверу атакующего. Ответ от LDAP-сервера может содержать  сериализированный код, который будет выполнен в обход механизмов защиты.


В качестве временной меры защиты до выхода обновления всем администраторам публичных серверов Jenkins рекомендуется временно заблокировать интерфейс CLI, воспользовавшись скриптом (https://github.com/jenkinsci-cert/SECURITY-218/blob/master/c...), опубликованным (https://github.com/jenkinsci-cert/SECURITY-218) для временной защиты от прошлогодней критической уязвимости. Скрипт следует запустить через меню Manage Jenkins в секции Script Console, после чего добавить в автозапуск ($JENKINS_HOME/init.groovy.d/cli-shutdown.groovy) до применения обновления с устранением уязвимости. Другим временным способом защиты является блокировка доступа к страницам "/cli" на стороне http-сервера.

URL: http://seclists.org/oss-sec/2016/q4/412
Новость: http://www.opennet.me/opennews/art.shtml?num=45485

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  –1 +/
Сообщение от Аноним (??) on 13-Ноя-16, 10:10 
Пф.... https://hackage.haskell.org/package/sproxy
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  –6 +/
Сообщение от rshadow (ok) on 13-Ноя-16, 12:04 
Слава богу у нас теперь гитхаб и гитлаб есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +4 +/
Сообщение от deadfood (ok) on 13-Ноя-16, 13:49 
и что же из них умеет собирать код?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от Аноним (??) on 13-Ноя-16, 14:44 
GitLab вроде умеет.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

3. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +3 +/
Сообщение от Не нужно on 13-Ноя-16, 12:11 
Сколько юзали чудо жабье у себя в конторе, столько плевались. Утешали себя тем, что альтернативы ещё хуже. А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +1 +/
Сообщение от Аноним (??) on 13-Ноя-16, 12:33 
Шило на мыло, было чудо жабье, стало чудо-руби, оперативы жрать меньше не стало
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +3 +/
Сообщение от Не нужно on 13-Ноя-16, 12:59 
Гитлаб неиллюзорно жручий до памяти, это правда. Для нашей конторы аж целый гиг пришлось ему выделить. Но память жрётся только на основном сервере, а на билд-нодах запущен только маленький демон на Go. https://gitlab.com/gitlab-org/gitlab-ci-multi-runner В отличие от сабжа, у которого жабий слейв часто отжирает больше, чем сам билд.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от Аноним (??) on 13-Ноя-16, 21:18 
> гиг пришлось ему выделить. Но память жрётся только на основном сервере,
> а на билд-нодах запущен только маленький демон на Go.

Им не хватает фичреквеста "а теперь перепишите и все остальное нормально" :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  –1 +/
Сообщение от KonstantinB (ok) on 14-Ноя-16, 00:18 
Ай, это не то место, где это важно. Если бы на каждой билд-ноде столько жрало, это была бы проблема. А на один сервер гиг выделить - это что же за контора такая, где это вообще может быть проблемой, стоящей хоть минуты обсуждения? Та, которая дырокол в аренду берет?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от . on 15-Ноя-16, 03:46 
Иди в дупу!
Если вы там здрасти мир! строгаете то да. А я летом обновил сервак с 8GB до 16GB и всё равно не скажу что летает :(  
omnibus от GitLab, всё на SSD-ях.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

6. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от Аноним (??) on 13-Ноя-16, 13:20 
Drone-CI вроде не жрет.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от Аноним (??) on 14-Ноя-16, 13:28 
Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты, а тот – третий, при этом матричный, оно не подходит от слова "совсем".
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от пани Икра on 14-Ноя-16, 21:49 
> Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты

Всё это есть в гитлабе. Матриц вот и правда нет.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

12. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +2 +/
Сообщение от Аноним (??) on 13-Ноя-16, 21:17 
> Ответ от LDAP-сервера может содержать сериализированный код,
> который будет выполнен в обход механизмов защиты.

Значит, говорите, в пруду утка, в утке яйцо, в яйце жаба, в жабе LDAP, а в LDAP-е код... ух нифига себе сказочку завернули.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +1 +/
Сообщение от ALex_hha (ok) on 13-Ноя-16, 22:17 
> А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо

по сравнению с Jenkins еще мало что умеет, но активно развивается. Так глядишь и через пару тройку лет, можно будет заменить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от Аноним (??) on 13-Ноя-16, 22:59 
Сначала пусть руби рельсы
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +2 +/
Сообщение от Аноним (??) on 13-Ноя-16, 22:59 
> Сначала пусть руби рельсы

Выпилят

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Критическая уязвимость в системе непрерывной интеграции Jenk..."  +/
Сообщение от . on 15-Ноя-16, 03:48 
Нереально. :( Это будет новый - другой продугд :(
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру