форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в системе непрерывной интеграции Jenkins"	+/–
Сообщение от opennews (??) on 13-Ноя-16, 10:10
Разработчики инструментария непрерывной интеграции  Jenkins (http://www.jenkins-ci.org) предупредили (https://jenkins.io/blog/2016/11/12/addressing-remote-vulnera.../) о выходе 16 ноября корректирующего релиза, в котором будет устранена опасная уязвимость (https://groups.google.com/forum/#!msg/jenkinsci-advisories/-...), позволяющая удалённому атакующему без прохождения аутентификации выполнить свой код на сервере. Суть уязвимости в том, что через передачу сериализированных Java-объектов в Jenkins CLI можно добиться обращения к LDAP-серверу атакующего. Ответ от LDAP-сервера может содержать  сериализированный код, который будет выполнен в обход механизмов защиты. В качестве временной меры защиты до выхода обновления всем администраторам публичных серверов Jenkins рекомендуется временно заблокировать интерфейс CLI, воспользовавшись скриптом (https://github.com/jenkinsci-cert/SECURITY-218/blob/master/c...), опубликованным (https://github.com/jenkinsci-cert/SECURITY-218) для временной защиты от прошлогодней критической уязвимости. Скрипт следует запустить через меню Manage Jenkins в секции Script Console, после чего добавить в автозапуск ($JENKINS_HOME/init.groovy.d/cli-shutdown.groovy) до применения обновления с устранением уязвимости. Другим временным способом защиты является блокировка доступа к страницам "/cli" на стороне http-сервера. URL: http://seclists.org/oss-sec/2016/q4/412 Новость: http://www.opennet.me/opennews/art.shtml?num=45485
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	–1 +/–
Сообщение от Аноним (??) on 13-Ноя-16, 10:10
Пф.... https://hackage.haskell.org/package/sproxy
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	–6 +/–
Сообщение от rshadow (ok) on 13-Ноя-16, 12:04
Слава богу у нас теперь гитхаб и гитлаб есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+4 +/–
	Сообщение от deadfood (ok) on 13-Ноя-16, 13:49
	и что же из них умеет собирать код?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от Аноним (??) on 13-Ноя-16, 14:44
	GitLab вроде умеет.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

3. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+3 +/–
Сообщение от Не нужно on 13-Ноя-16, 12:11
Сколько юзали чудо жабье у себя в конторе, столько плевались. Утешали себя тем, что альтернативы ещё хуже. А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+1 +/–
	Сообщение от Аноним (??) on 13-Ноя-16, 12:33
	Шило на мыло, было чудо жабье, стало чудо-руби, оперативы жрать меньше не стало
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+3 +/–
	Сообщение от Не нужно on 13-Ноя-16, 12:59
	Гитлаб неиллюзорно жручий до памяти, это правда. Для нашей конторы аж целый гиг пришлось ему выделить. Но память жрётся только на основном сервере, а на билд-нодах запущен только маленький демон на Go. https://gitlab.com/gitlab-org/gitlab-ci-multi-runner В отличие от сабжа, у которого жабий слейв часто отжирает больше, чем сам билд.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	13. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от Аноним (??) on 13-Ноя-16, 21:18
	> гиг пришлось ему выделить. Но память жрётся только на основном сервере, > а на билд-нодах запущен только маленький демон на Go. Им не хватает фичреквеста "а теперь перепишите и все остальное нормально" :)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	17. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	–1 +/–
	Сообщение от KonstantinB (ok) on 14-Ноя-16, 00:18
	Ай, это не то место, где это важно. Если бы на каждой билд-ноде столько жрало, это была бы проблема. А на один сервер гиг выделить - это что же за контора такая, где это вообще может быть проблемой, стоящей хоть минуты обсуждения? Та, которая дырокол в аренду берет?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	20. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от . on 15-Ноя-16, 03:46
	Иди в дупу! Если вы там здрасти мир! строгаете то да. А я летом обновил сервак с 8GB до 16GB и всё равно не скажу что летает :(   omnibus от GitLab, всё на SSD-ях.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	6. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от Аноним (??) on 13-Ноя-16, 13:20
	Drone-CI вроде не жрет.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	18. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от Аноним (??) on 14-Ноя-16, 13:28
	Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты, а тот – третий, при этом матричный, оно не подходит от слова "совсем".
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	19. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от пани Икра on 14-Ноя-16, 21:49
	> Увы, для очень непростых конфигураций, где один джоб запускает второй, передавая друг другу артефакты Всё это есть в гитлабе. Матриц вот и правда нет.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

12. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+2 +/–
Сообщение от Аноним (??) on 13-Ноя-16, 21:17
> Ответ от LDAP-сервера может содержать сериализированный код, > который будет выполнен в обход механизмов защиты. Значит, говорите, в пруду утка, в утке яйцо, в яйце жаба, в жабе LDAP, а в LDAP-е код... ух нифига себе сказочку завернули.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+1 +/–
Сообщение от ALex_hha (ok) on 13-Ноя-16, 22:17
> А потом поставили себе GitLab и с удивлением обнаружили, что в нём есть чудесный CI. И всё у нас стало хорошо по сравнению с Jenkins еще мало что умеет, но активно развивается. Так глядишь и через пару тройку лет, можно будет заменить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от Аноним (??) on 13-Ноя-16, 22:59
	Сначала пусть руби рельсы
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+2 +/–
	Сообщение от Аноним (??) on 13-Ноя-16, 22:59
	> Сначала пусть руби рельсы Выпилят
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	21. "Критическая уязвимость в системе непрерывной интеграции Jenk..."	+/–
	Сообщение от . on 15-Ноя-16, 03:48
	Нереально. :( Это будет новый - другой продугд :(
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема