Af Eskil Sørensen, 01/07/22
Jenkins, som er en leverandør af open source-automatiseringsserver har udgivet 34 advisories med fejl, der berører 25 plugins. Kun fire af de 25 plugins har indtil videre fået rettelser.
Det skriver The Register.
Sårbarhedstyperne omfatter bl.a. cross-site scripting (XSS), adgangskoder, API-nøgler, hemmeligheder og tokens gemt i klartekst; cross-site request forgery (CSRF). Elleve af de 34 sårbarheder er vurderet til at have ’høj sværhedsgrad’, 14 er medium, og 9 siges at være lav.
En ekspert ved Sophos, Sean Gallagher, siger til The Register, at sårbarhederne individuelt ikke burde vække til bekymring, men som helhed udgør den samlede mængde sårbarheder en stor angrebsflade.
Følgende plugins er berørt:
Build Notifications Plugin, build-metrics Plugin, Cisco Spark Plugin, Deployment Dashboard Plugin, Elasticsearch Query Plugin, eXtreme Feedback Panel Plugin, Failed Job Deactivator Plugin, GitLab Plugin, HPE Network Virtualization Plugin, Jigomerge Plugin, Matrix Reloaded Plugin, PlotGenie Plugin, Plugin, Project Inheritance Plugin, Recipe Plugin, Request Rename or Delete Plugin, requests-plugin Plugin, Rich Text Publisher Plugin, RocketChat Notifier Plugin, RQM Plugin, Skype notifier Plugin, TestNG Results Plugin, Validering Email Parameter Plugin, XebiaLabs XL Release Plugin, og XPath Configuration Viewer Plugin.
Links:
https://www.theregister.com/2022/06/30/jenkins_plugins_security_advisories/