Jenkins服务器允许匿名用户成为管理员

  • 时间:
  • 浏览:0
  • 来源:十分时时彩_玩十分时时彩的平台_十分时时彩下注平台

  今年夏天发现并修补了1个漏洞,将Jenkins服务器暴露在大规模开发之下。Jenkins的服务器数以千计,甚至更多,容易受到数据盗窃、接管和攻击。这愿因黑客可不可不都能能 利用1个漏洞获得管理权限,愿因使用哪几种服务器上的无效凭据登录。

  你这名个漏洞有无CyberArk的安全研究人员发现的,并私下向詹金斯团队报告,并在今年夏天得到了修复。尽管你这名个疑问有无补丁,但Jenkins仍然有数千台服务器可不可不都能能 在线使用。Jenkins是1个用Java构建的用于集成的web应用守护线程池池,它允许开发团队基于测试结果在代码库上运行自动化测试和命令,甚至可不可不都能能 自动化将新代码部署到服务器的过程。

  Jenkins是有些公司IT基础架构中的1个流行组件,哪几种服务器在自由职业者和企业中都很受欢迎。

  1个非常危险的匮乏

  今年夏天,CyberArk的研究人员发现了1个漏洞,该漏洞允许攻击者提供格式不正确的登录凭证,从而愿因Jenkins服务器崩溃的配置文件。从Jenkins主目录到另1个位置的xml文件。愿因攻击者可不可不都能能 愿因Jenkins服务器崩溃并重新启动,愿因愿因它在等待服务器有些人重新启动,那么 Jenkins服务器将启动1个不具有安全性的默认配置文件。

  在你这名弱化的设置中,任何人都可不可不都能能 在Jenkins服务器上注册并获得管理员访问权限。有了管理员角色,攻击者就可不可不都能能 访问公司的私有源代码,甚至可不可不都能能 修改代码,以便在公司的应用守护线程池池中植入。你这名单独的疑问你这名愿因相当糟糕,但CyberArk的研究人员还发现了Jenkins的第四个bug。

  我说,第四个bug允许攻击者,在服务器内存中,创建短暂的用户记录,允许攻击者在短时间内,使用假用户名和凭据进行身份验证。你这名个漏洞都得到了修复,第1个是在7月,第四个是在8月,就让正如朋友在过去几年习惯了覆盖安全匮乏一样,并有无所有的服务器所有者,都用心安装哪几种安全更新。

  成千上万的服务器暴露在黑客眼前

  斯托尔真不知道们:“除了为宜7.6万个安装数字,还有有些安装进封闭网络内,无法在线访问(就让在Shodan无法看得人),就让,为宜7.6万个安装数字就说 1个更大数字的一部分。”“同样,任何有网络接入的人都能成功实施这次攻击。”

  朋友用相同的Shodan引擎对10个Jenkins服务器版本的搜索查询进行了微调,哪几种版本都很容易受到上述漏洞的攻击。短短几分钟之内,就发现了100多台易受攻击的Jenkins服务器,但朋友相信,可不可不都能能 访问internet的易受攻击服务器总数甚至愿因超过1000台。

  今年早些另1个,1个网络犯罪组织滥用了多量的旧漏洞来接管Jenkins的实例,并在朋友的要求下利用它们来挖掘加密货币,在短短多少月的时间里(当时)赚了令人震惊的36万美元。很少有比这漏洞,可不可不都能能 被多量利用而造成更大的损害。Jenkins的服务器所有者被建议尽快修复,外理黑客在朋友的服务器上自由漫游。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请