Jenkins服务器允许匿名用户成为管理员

  • 时间:
  • 浏览:1

  今年夏天发现并修补了好十几个 多多多多漏洞,将Jenkins服务器暴露在大规模开发之下。Jenkins的服务器数以千计,甚至更多,容易受到数据盗窃、接管和攻击。这是或者黑客可不都里能利用好十几个 多多多多漏洞获得管理权限,或者使用那些服务器上的无效凭据登录。

  你一些个多多多漏洞否有CyberArk的安全研究人员发现的,并私下向詹金斯团队报告,并在今年夏天得到了修复。尽管你一些个多多多问题报告 报告 否有补丁,但Jenkins仍然有数千台服务器可不都里能在线使用。Jenkins是好十几个 多多多多用Java构建的用于集成的web程序运行,它允许开发团队基于测试结果在代码库上运行自动化测试和命令,甚至可不都里能自动化将新代码部署到服务器的过程。

  Jenkins是一些公司IT基础架构中的好十几个 多多多多流行组件,那些服务器在自由职业者和企业中都很受欢迎。

  好十几个 多多多多非常危险的不足英文

  今年夏天,CyberArk的研究人员发现了好十几个 多多多多漏洞,该漏洞允许攻击者提供格式不正确的登录凭证,从而意味Jenkins服务器崩溃的配置文件。从Jenkins主目录到好十几个 多多多多多位置的xml文件。或者攻击者可不都里能意味Jenkins服务器崩溃并重新启动,或者或者它等待服务器当事人重新启动,没有Jenkins服务器将启动好十几个 多多多多不具有安全性的默认配置文件。

  在你一些弱化的设置中,任何人可不都里能在Jenkins服务器上注册并获得管理员访问权限。有了管理员角色,攻击者就可不都里能访问公司的私有源代码,甚至可不都里能修改代码,以便在公司的程序运行中植入。你一些单独的问题报告 报告 有有一种或者相当糟糕,但CyberArk的研究人员还发现了Jenkins的第六个bug。

  我说,第六个bug允许攻击者,在服务器内存中,创建短暂的用户记录,允许攻击者在短时间内,使用假用户名和凭据进行身份验证。你一些个多多多漏洞都得到了修复,第好十几个 多多多多是在7月,第六个是在8月,或者正如大伙 在过去几年习惯了覆盖安全不足英文一样,并否有所有的服务器所有者,都用心安装那些安全更新。

  成千上万的服务器暴露在黑客身前

  斯托尔我不知道们:“除了大概7.20万个安装数字,还有一些安装入封闭网络内,无法在线访问(或者在Shodan无法看到),或者,大概7.20万个安装数字本来 我好十几个 多多多多更大数字的一每段。”“同样,任何有网络接入的人都能成功实施这次攻击。”

  大伙 用相同的Shodan引擎对10个Jenkins服务器版本的搜索查询进行了微调,那些版本都很容易受到上述漏洞的攻击。短短几分钟之内,就发现了1150多台易受攻击的Jenkins服务器,但大伙 相信,可不都里能访问internet的易受攻击服务器总数甚至或者超过111500台。

  今年早些但是,好十几个 多多多多网络犯罪组织滥用了几滴 的旧漏洞来接管Jenkins的实例,并在大伙 的要求下利用它们来挖掘加密货币,在短短十几个 月的时间里(当时)赚了令人震惊的320万美元。很少有比这漏洞,可不都里能被几滴 利用而造成更大的损害。Jenkins的服务器所有者被建议尽快修复,补救黑客在大伙 的服务器上自由漫游。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请