Yazılımın oluşturulmasında açık kaynak otomasyon aracı Jenkins kullanılıyorsa, geliştiriciler güncellemeler için kullanılan eklentileri kontrol etmelidir. Bu olmazsa, saldırganlar diğer şeylerin yanı sıra çeşitli zayıf noktalara saldırabilir ve güvenlik mekanizmalarını atlayabilir.
Jenkins, yazılım oluşturma ve test etme ile ilgili çeşitli görevleri otomatik hale getirir. Bir uyarı mesajına göre, aşağıdaki eklentiler savunmasızdır:
Çoğu güvenlik açığı, tehdit düzeyiyle ilişkilidir”yarım” sınıflandırılmış. Bir hile hakkında “yüksek” Quay.io’daki Sınıflandırılmış Güvenlik Açığı (CVE-2023-30520) Eklentiyi Tetikliyor Hazır URL’lere sahip Saldırganlar bir XSS saldırısı başlatabilir.
Diğer durumlarda, saldırganlar, diğer şeylerin yanı sıra açık metin kimlik doğrulamasını veya erişim belirteçlerini atlayabilir. Şimdiye kadar yalnızca güvenlik güncellemeleri olarak Azure Key Vault eklentisi 188.vf46b_7fa_846a_1 VE Kubernetes eklentisi 3910.ve59cec5e33ea_ göründü. Kalan eklentilerin olası saldırılara karşı ne zaman silahlandırılacağı henüz bilinmiyor.
(İtibaren)
Haberin Sonu
Jenkins, yazılım oluşturma ve test etme ile ilgili çeşitli görevleri otomatik hale getirir. Bir uyarı mesajına göre, aşağıdaki eklentiler savunmasızdır:
- Plugin Assemble birleştirme isteği oluşturucu 1.1.13 sürümüne kadar ve dahil
- 187.va_cd5fecd198a_ sürümüne kadar ve dahil olmak üzere Azure Key Vault eklentisi
- 2.0.13 sürümüne kadar Consul KV Builder Plugin dahildir
- 2.2.17 sürümüne kadar ve dahil olmak üzere Fogbugz eklentisi
- Görüntü Etiketi Parametre Eklentisi, sürüm 2.0’a kadar ve dahil
- 3909.v1f2c633e8590 sürümüne kadar ve dahil olmak üzere Kubernetes eklentisi
- Lucene Arama Eklentisi 387.v938a_ecb_f7fe9 sürümüne kadar
- 1.22 sürümüne kadar ve dahil olmak üzere yeni Vektör Güvenlik Açığı Tarayıcısı eklentisi
- Quay.io tetik eklentisi, sürüm 0.1’e kadar ve dahil
- 0.5 sürümüne kadar Rapor Portalı dahildir
- Thycotic DevOps Secrets Vault Eklentisi, sürüm 1.0.0’a kadar ve dahil
- 1.0.2 sürümüne kadar Thycotic Secret Server eklentisi dahildir
- 1.3 sürümüne kadar ve dahil olmak üzere TurboScript eklentileri
- WSO2 Oauth Eklentisi, sürüm 1.0’a kadar ve dahil
Çoğu güvenlik açığı, tehdit düzeyiyle ilişkilidir”yarım” sınıflandırılmış. Bir hile hakkında “yüksek” Quay.io’daki Sınıflandırılmış Güvenlik Açığı (CVE-2023-30520) Eklentiyi Tetikliyor Hazır URL’lere sahip Saldırganlar bir XSS saldırısı başlatabilir.
Diğer durumlarda, saldırganlar, diğer şeylerin yanı sıra açık metin kimlik doğrulamasını veya erişim belirteçlerini atlayabilir. Şimdiye kadar yalnızca güvenlik güncellemeleri olarak Azure Key Vault eklentisi 188.vf46b_7fa_846a_1 VE Kubernetes eklentisi 3910.ve59cec5e33ea_ göründü. Kalan eklentilerin olası saldırılara karşı ne zaman silahlandırılacağı henüz bilinmiyor.
(İtibaren)
Haberin Sonu