В более чем 100 плагинах Jenkins обнаружены уязвимости

3

В более чем 100 плагинах Jenkins обнаружены уязвимости

Уязвимости в основном связаны с хранением паролей в открытом виде и возможностью проведения CSRF-атак.


Свыше сотни плагинов для открытого инструмента непрерывной интеграции ПО Jenkins содержат различные уязвимости в основном связанные с хранением паролей в незашифрованном виде, а также CSRF-баги, позволяющие украсть учетные данные или осуществить CSRF-атаки. Проблемы выявил специалист компании NCC Group Виктор Газдаг (Viktor Gazdag), проанализировавший несколько сотен плагинов Jenkins.

Как пояснил эксперт, хотя Jenkins шифрует пароли в файле credentials.xml, некоторые разработчики плагинов используют другие методы хранения учетных данных. В большинстве случаев данные решения не предполагают никакого шифрования. Кроме того, некоторые web-формы, в которых пользователи вводят учетные данные, допускают утечку паролей или секретных токенов.

CSRF-уязвимости связаны с функциями плагинов, с помощью которых пользователи могут проверить учетные данные и подключиться к серверу. В основном они существует в связи с тем, что разработчики не реализовывают POST-запросы, предотвращающие атаки с использованием CSRF токена.

В последние два года разработчики Jenkins выпустили несколько предупреждений , описывающих уязвимости в различных плагинах, в том числе ряд багов, выявленных Газдагом.

Уязвимые плагины взаимодействуют с широким кругом сервисов, включая Twitter, AWS, VMware и Azure. В большинстве случаев ПО было создано сторонними разработчиками, не имеющими отношения к вендору, чье программное обеспечение используется плагином.

Как отмечается, авторы некоторых плагинов уже устранили баги в своем ПО, однако многие из них до сих пор остаются уязвимыми. В свою очередь, разработчики Jenkins опубликовали обширный список плагинов, уязвимости в которых все еще остаются неисправленными.