OpenForum RSS: Серия уязвимостей в системе непрерывной интеграции Jenkins https://opennet.me/openforum/vsluhforumID3/112493.html Разработчики инструментария непрерывной интеграции Jenkins (http://www.jenkins-ci.org) представили (https://jenkins.io/blog/2017/10/11/security-updates/) корректирующие выпуски 2.84 и 2.73.2, в который устранено 7 уязвимостей (http://seclists.org/oss-sec/2017/q4/59). Кроме того, выпущены новые версии плагинов для интеграции с Swarm и Maven, в которых также устранены уязвимости (https://jenkins.io/security/advisory/2017-10-11/). Уязвимость выявлена и в плагине Speaks, но из-за отсутствия исправления данный плагин рекомендован к удалению.<br><br><br>Наиболее опасная проблема в Jenkins позволяет злоумышленнику с правами агента выполнить произвольные shell-команды на master-сервере. Уязвимость в плагине Speaks позволяет выполнить код в Jenkins JVM, при наличии полномочий создание или настройки заданий, независимо от наличия прав на их запуск. Остальные проблемы связаны с утечкой информации или инициированием отказа в обслуживании.<br><br>URL: https://jenkins.io/blog/2017/10/11/security-updates/<br>Новость: http://www.opennet Серия уязвимостей в системе непрерывной интеграции Jenkins (пох) https://opennet.me/openforum/vsluhforumID3/112493.html#17 Tue, 17 Oct 2017 07:57:52 GMT &gt; Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что <br>&gt; ты сэкономишь, тебе в бонусы пойдёт.<br><br>Серьезно? Куды резюм присылать? (ух я вам понаэкономлю! А что с этим работать будет нельзя - меня, после получения бонусов, никалебет)<br><br><br> Серия уязвимостей в системе непрерывной интеграции Jenkins (пох) https://opennet.me/openforum/vsluhforumID3/112493.html#16 Tue, 17 Oct 2017 06:12:16 GMT &gt; во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости? <br><br>за тим не скажу, а в круизе наверняка не находят - потому что не ищут, чего время-то тратить, оно ж насквозь гнилое все. Если у кого-то он untrusted код гоняет, то не надо искать уязвимости, надо листок с паролем у него от монитора отклеить. Пусть-ка помучается, 123 там было или qaz ;-)<br> Серия уязвимостей в системе непрерывной интеграции Jenkins (пох) https://opennet.me/openforum/vsluhforumID3/112493.html#15 Tue, 17 Oct 2017 06:09:04 GMT &gt; Нужен вброс полезной инфы от тех кто работал с другими в прод.<br><br>ок, открывайте блокнотик, берите красную ручку, записывайте: CruiseControl - чудовищное, феерическое жабье дерьмо.<br><br>Стоит разок поставить для какого-нибудь большого проекта только ради того, чтобы искренне полюбить jenkins.<br> Серия уязвимостей в системе непрерывной интеграции Jenkins (ALex_hha) https://opennet.me/openforum/vsluhforumID3/112493.html#14 Mon, 16 Oct 2017 14:29:15 GMT &gt; Вообще-то платность становится препятствием только для гордых админов локалхоста.<br><br>расскажите это пользователям венды, а то они не в курсе :D<br><br>&gt; Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.<br><br>верно, но платность не исключает наличие уязвимостей, от слова совсем<br><br> Серия уязвимостей в системе непрерывной интеграции Jenkins (VoDA) https://opennet.me/openforum/vsluhforumID3/112493.html#13 Mon, 16 Oct 2017 14:25:44 GMT &gt; Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не <br>&gt; работал. Нужен вброс полезной инфы от тех кто работал с другими <br>&gt; в прод.<br><br>В GitLab встроили свой CI движок. Довольно удобен для сборки по коммиту и задач CI.<br><br>Для построения CI/CD цепочки лучше смотреть на выделенные сервера типа Jenkins, etc.<br><br><br> Серия уязвимостей в системе непрерывной интеграции Jenkins (лютый жабист__) https://opennet.me/openforum/vsluhforumID3/112493.html#12 Mon, 16 Oct 2017 07:42:23 GMT Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что ты сэкономишь, тебе в бонусы пойдёт. А у прогеров локалхоста вообще CI нет, см реплики Led<br> Серия уязвимостей в системе непрерывной интеграции Jenkins (Pofigist) https://opennet.me/openforum/vsluhforumID3/112493.html#11 Sun, 15 Oct 2017 08:50:52 GMT Вообще-то платность становится препятствием только для гордых админов локалхоста. Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.<br> Серия уязвимостей в системе непрерывной интеграции Jenkins (freehck) https://opennet.me/openforum/vsluhforumID3/112493.html#10 Sun, 15 Oct 2017 00:00:29 GMT Инструмент выбирается под задачу. Напишите, чем Вы не довольны в Jenkins, попробуем порешать их или посоветуем, куда смотреть.<br><br>Вот тут советуют TeamCity как замена Jenkins, но вот для моих задач они оказались равноценны (вопрос проприетарности даже не рассматривался).<br> Серия уязвимостей в системе непрерывной интеграции Jenkins (Lolwat) https://opennet.me/openforum/vsluhforumID3/112493.html#8 Sat, 14 Oct 2017 16:36:43 GMT Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не работал. Нужен вброс полезной инфы от тех кто работал с другими в прод.<br>