Jenkins açık kaynak yazılımının güncellenmiş sürümü birçok güvenlik açığını kapatıyor. Geliştiriciler bunları büyük ölçüde yüksek riskli olarak sınıflandırıyor.
Duyuru
Jenkins, yazılım oluşturma süreci gibi tekrarlanan görevleri otomatikleştiren ve aynı zamanda işlevleri API'ler ve kitaplıklar ile paketlemenize olanak tanıyan çok sayıda eklentiye sahip web tabanlı bir yazılım geliştirme aracıdır.
Jenkins eklentilerindeki yüksek riskli güvenlik açığı
Bir güvenlik tavsiyesinde Jenkins geliştiricileri, toplam yedi eklentide güvenlik kusurlarının keşfedildiğini yazıyor. Bunlardan altısı yüksek riskli, biri orta riskli olarak sınıflandırılmıştır.
Aşağıdaki Jenkins eklentilerinde güvenlik kusurları bulunabilir:
Ağustos ayında siber suçlular, Jenkins sunucusundaki güvenlik açıklarına aktif olarak saldırdı. ABD siber güvenlik kurumu CISA onu uyardı. Jenkins çevrimiçi suçlular için çekici bir hedef olduğu için BT yöneticilerinin Jenkins örneklerini hızla güncellemeleri gerekiyor.
(Bilmiyorum)
Duyuru
Jenkins, yazılım oluşturma süreci gibi tekrarlanan görevleri otomatikleştiren ve aynı zamanda işlevleri API'ler ve kitaplıklar ile paketlemenize olanak tanıyan çok sayıda eklentiye sahip web tabanlı bir yazılım geliştirme aracıdır.
Jenkins eklentilerindeki yüksek riskli güvenlik açığı
Bir güvenlik tavsiyesinde Jenkins geliştiricileri, toplam yedi eklentide güvenlik kusurlarının keşfedildiğini yazıyor. Bunlardan altısı yüksek riskli, biri orta riskli olarak sınıflandırılmıştır.
Aşağıdaki Jenkins eklentilerinde güvenlik kusurları bulunabilir:
- Paylaşılan kitaplık sürümü geçersiz kılma eklentisindeki güvenlik önlemlerini atlayın, CVE-2024-52554, Risk”yüksek“
- IvyTrigger Eklentisindeki XXE Güvenlik Açığı, CVE-2022-46751, yüksek
- Yetersiz Oturum Geçersiz Kılma, OpenId Connect Kimlik Doğrulama Eklentisinde Sosyal Mühendislik Yönetici Erişimine İzin Verir, CVE-2024-52553, yüksek
- Proje Eklentisinde Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı'nı Yetkilendirme, CVE-2024-52552, yüksek
- İşlem hattında yeniden oluşturma izni kontrolü eksik: Bildirim eklentisi, CVE-2024-52551, yüksek
- İşlem hattında yeniden oluşturma izni denetimi eksik: Groovy Plugin, CVE-2024-52550, yüksek
- Komut Dosyası Güvenliği eklentisinde eksik izin kontrolü, CVE-2024-52549, orta
- Proje eklentisi 1.8.0'ı yetkilendirin
- IvyTrigger Eklentisi 1.02
- OpenId Connect Kimlik Doğrulama Eklentisi 4.421.v5422614eb_e0a_
- Pipeline: Bildirim eklentisi 2.2218.v56d0cda_37c72
- Pipeline: Harika eklenti 3993.v3e20a_37282f8
- Komut Dosyası Güvenlik Eklentisi 1368.vb_b_402e3547e7
- Paylaşılan Kitaplık Sürümünü Geçersiz Kılma Eklentisi 19.v3a_c975738d4a_
Ağustos ayında siber suçlular, Jenkins sunucusundaki güvenlik açıklarına aktif olarak saldırdı. ABD siber güvenlik kurumu CISA onu uyardı. Jenkins çevrimiçi suçlular için çekici bir hedef olduğu için BT yöneticilerinin Jenkins örneklerini hızla güncellemeleri gerekiyor.
(Bilmiyorum)