bencede
New member
Jenkins'in açık kaynaklı otomasyon yazılımı, bazı kritik güvenlik açıklarını güncellemelerle dolduruyor. Geliştiriciler, Jenkins'in çekirdek sistemindeki kritik bir boşluğun, saldırganların kötü amaçlı kod yerleştirmesine bile olanak verebileceği konusunda uyardı. Güncellemeler ayrıca altı eklentideki güvenlik açıklarını da gideriyor.
Duyuru
Jenkins Geliştirici Güvenlik Raporu, Jenkins Core'daki komut satırı arayüzünde (CLI) bulunan bir güvenlik açığının, saldırganların rastgele dosyaları okumasına izin verdiğini açıklıyor. Buna, şifreleme anahtarları içeren dosyalar veya yolları bilinen diğer dosyalar da dahildir. Programcılar, saldırganların enjekte edilen kodu yürütmek ve örneğin sırların şifresini çözmek veya Jenkins'teki rastgele öğeleri silmek için onu kötüye kullanabileceği beş yolu açıklıyor (CVE-2024-23897, CVSS) 9.8“Risk”eleştirmen“).
Jenkins Core ve eklentilerde çoklu boşluklar
Bir güvenlik açığı nedeniyle CLI, diğer sitelerdeki web yuvalarının kontrolünün alınmasına da izin verir (Siteler Arası Web Soketinin Ele Geçirilmesi) (CVE-2024-23898, CVSS 8.8, yüksek). Ek güvenlik açıkları Git Server eklentisini, Log Command eklentisini, Qualys Policy Compliance Scanning Connector eklentisini, Red Hat Dependency Analytics eklentisini (hepsi yüksek risk altındadır), Matrix Project eklentisini ve Gitlab Şubesini etkiler. Kaynak Eklentisi (her biri orta riskli).
Jenkins Weekly 2.442, Jenkins LTS 2.426.3, Git Sunucu Eklentisi 99.101.v720e86326c09, Gitlab Branch Kaynak Eklentisi 688.v5fa_356ee8520, Matrix Project Eklentisi 822.824.v14451b_c0fd42, Qualys Politika Uyumluluğu Tarama Bağlayıcı Eklentisi güncellemesiyle 1.0.6 ve Red Hat Dependency Analytics Plug-in 0.9.0'da güvenlik açıklarının geçilmesi gerekiyor.
Ekim ayının sonunda proje yöneticileri dokuz Jenkins eklentisindeki güvenlik açıklarını kapatmak zorunda kaldı. Bunların çoğu yüksek riskli olarak sınıflandırılmıştır.
(Bilmiyorum)
Haberin Sonu
Duyuru
Jenkins Geliştirici Güvenlik Raporu, Jenkins Core'daki komut satırı arayüzünde (CLI) bulunan bir güvenlik açığının, saldırganların rastgele dosyaları okumasına izin verdiğini açıklıyor. Buna, şifreleme anahtarları içeren dosyalar veya yolları bilinen diğer dosyalar da dahildir. Programcılar, saldırganların enjekte edilen kodu yürütmek ve örneğin sırların şifresini çözmek veya Jenkins'teki rastgele öğeleri silmek için onu kötüye kullanabileceği beş yolu açıklıyor (CVE-2024-23897, CVSS) 9.8“Risk”eleştirmen“).
Jenkins Core ve eklentilerde çoklu boşluklar
Bir güvenlik açığı nedeniyle CLI, diğer sitelerdeki web yuvalarının kontrolünün alınmasına da izin verir (Siteler Arası Web Soketinin Ele Geçirilmesi) (CVE-2024-23898, CVSS 8.8, yüksek). Ek güvenlik açıkları Git Server eklentisini, Log Command eklentisini, Qualys Policy Compliance Scanning Connector eklentisini, Red Hat Dependency Analytics eklentisini (hepsi yüksek risk altındadır), Matrix Project eklentisini ve Gitlab Şubesini etkiler. Kaynak Eklentisi (her biri orta riskli).
Jenkins Weekly 2.442, Jenkins LTS 2.426.3, Git Sunucu Eklentisi 99.101.v720e86326c09, Gitlab Branch Kaynak Eklentisi 688.v5fa_356ee8520, Matrix Project Eklentisi 822.824.v14451b_c0fd42, Qualys Politika Uyumluluğu Tarama Bağlayıcı Eklentisi güncellemesiyle 1.0.6 ve Red Hat Dependency Analytics Plug-in 0.9.0'da güvenlik açıklarının geçilmesi gerekiyor.
Ekim ayının sonunda proje yöneticileri dokuz Jenkins eklentisindeki güvenlik açıklarını kapatmak zorunda kaldı. Bunların çoğu yüksek riskli olarak sınıflandırılmıştır.
(Bilmiyorum)
Haberin Sonu