研究人员表示,没有利用任何软件集成平台Jenkins漏洞,就在互联网上发现了暴露万5千个Jenkins实例,从这些实例中发现了不少大型公司泄露了敏感证书和日志文件,这都可能会引发数据泄露事件。
Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过,个活跃安装实例,用户超过万。
软件集成平台Jenkins是什么持续集成是一种软件开发实践,对于提高软件开发效率并保障软件开发质量提供了理论基础。Jenkins是一个开源软件项目,旨在提供一个开放易用的软件平台,使持续集成变成可能。
Jenkins是一种易于使用的持续集成系统,它可以使开发者从繁杂的集成过程中解脱出来,专注于更为重要的业务逻辑实现。同时Jenkins能实施监控集成中存在的错误,提供详细的日志文件和提醒功能,还能用图表的形式形象地展示项目构建的趋势和稳定性。
万5千个Jenkins实例暴露在互联网上研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约5,个实例。其中大约一半的分析显示,10-0%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。
Tun?强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。
这些暴露的Jenkins实例泄露了敏感证书和日志文件Tun?还发现一些Jenkins服务器使用了Github或Bitbucket的SAML/OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。“专家在一篇博客文章中写道。
这些配置错误通常有:
任何人都可以使用访客或管理权限在互联网上公开访问-访客可以拥有管理权限,这简直就是灾难
某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限
某些Web应用程序确实是使用Github或Bitbucket的SAML/OAuth登录验证,但被错误配置为允许任何Github/Bitbucket帐户登录到Jenkins,而不是锁定到组织的用户池
转载请注明:http://www.0431gb208.com/sjszlfa/828.html