James Walker 03 Ağustos 2022, 13:52 UTC
Güncelleme: 03 Ağustos 2022, 13:55 UTC
‘Zor bir sorun için en iyi çözümün güvenlik açıklarını düzeltmeden duyurmak olduğuna inanıyoruz’
Açık kaynaklı DevOps platformu Jenkins, kullanıcıları bir düzineden fazla eklentiyi etkileyen yama uygulanmamış güvenlik açıkları konusunda uyarıyor.
Önde gelen bir açık kaynak otomasyon sunucusu olan Jenkins, projelerin oluşturulmasını, dağıtılmasını ve otomatikleştirilmesini desteklemek için binlerce eklenti sağlar.
Kuruluşun en son güvenlik danışma belgesi, beşi “yüksek” etki olarak kabul edilen ve çoğu yama uygulanmamış olan toplam 27 eklenti güvenlik açığını listeler.
Çak beşlik
Etkisi yüksek hatalar listesinde ilk sırada – tümü yazı yazılırken düzeltilmemiş – Coverity eklentisindeki (CVE-2022-36920) siteler arası istek sahteciliği (CSRF) güvenlik açığı bulunur.
Eklentinin bir HTTP uç noktasında izin denetimi gerçekleştiremediği bulundu. Ayrıca bu HTTP uç noktası, POST istekleri gerektirmez ve CSRF saldırılarına kapı açar.
BUNU DA BEĞENEBİLİRSİN CompleteFTP yolu geçiş hatası, saldırganların sunucu dosyalarını silmesine izin verdi
Bu arada, CLIF Performans Testi Eklentisindeki (CVE-2022-36894) rastgele bir dosya yazma güvenlik açığı, ‘Genel/Okuma’ iznine sahip saldırganların, Jenkins denetleyici dosya sisteminde saldırgan tarafından belirtilen içerikle rastgele dosyalar oluşturmasına veya değiştirmesine olanak tanır.
Depolanan siteler arası komut dosyası oluşturma (XSS) kusurları, Dinamik Genişletilmiş Seçim Parametresi eklentisinde (CVE-2022-36902) ve Maven Meta Veri eklentisinde (CVE-2022-36905) ve Lucene-Arama eklentisinde yansıtılan bir XSS güvenlik açığı bulundu. (CVE-2022-36922).
Sözü çıkarmak
En son Jenkins güvenlik danışma belgesinde listelenen 27 eklenti güvenlik açığından 18’i yamasız kaldı ve fiilen sıfır gün.
Jenkins güvenlik görevlisi Wadeck Follonier, ekibin herhangi bir düzeltme yerine bu sorunları topluluğa açıklama kararını tartıştığını söyledi. Günlük Swig: “Jenkins güvenlik ekibinin temel amacı, Jenkins eklenti ekosisteminin mümkün olduğunca güvenli olmasını sağlamaktır.
“Bizimki kadar büyük bir eklenti ekosistemi ile, her eklentinin her zaman bakımının yapılmaması şaşırtıcı değil ve bazen bakım yapanlarla iletişim kurulamıyor, yanıt vermiyor veya bize artık eklentiyi sürdüremeyeceklerini söylüyor. .
“Bu durumlarda, güvenlik açığını derinlemesine analiz eder, ayrıntılı bir açıklama yazar ve bunu diğer sabit güvenlik açıklarıyla birlikte bir güvenlik danışmanlığında duyururuz.”
En son güvenlik açıkları hakkında daha fazla bilgi edinin
Follonier şunları ekledi: “Güvenlik açıklarını düzeltmeden duyurmanın zor bir sorun için en iyi çözüm olduğuna inanıyoruz, çünkü yöneticilerin etkilenen eklentiyi kullanmaya devam etmelerini dikkatlice düşünmelerine olanak tanıyor.
“Jenkins Önerileri posta listesi ve sosyal kanallarımızın yanı sıra, bir danışma belgesi yayınladıktan hemen sonra Jenkins örneklerini etkileyen güvenlik açıkları hakkında yöneticilere doğrudan kullanıcı arayüzünde bilgi veriyoruz, böylece her Jenkins yöneticisi bu konuda bilgilendiriliyor.
Follonier, “Jenkins yöneticilerine önerimiz, etkilenip etkilenmediklerini anlamak için güvenlik önerilerimizi okumalarıdır” dedi. “Örneğin, yalnızca tek bir yönetici kullanıcısı olan ve başkaları tarafından erişilemeyen örneklerle pek çok güvenlik açığı alakasız.
“Tabii ki, etkilenip etkilenmediklerinden emin değillerse, yapılacak en güvenli şey eklentiyi kaldırmaktır.”
ÖNERİLEN Açık kaynaklı web uygulamalarındaki üçlü XSS hatası, sistemden tamamen ödün verilmesine neden olabilir