100 dan ortiq Jenkins plaginlarida zaifliklar aniqlandi
Zaifliklar asosan parollarni ochiq matnda saqlash va CSRF hujumlarini amalga oshirish imkoniyati bilan bog’liq.
Jenkins ochiq kodli uzluksiz integratsiya vositasi uchun yuzdan ortiq plaginlarda turli xil zaifliklar mavjud, asosan parollarni oddiy matnda saqlash bilan bog’liq, shuningdek, hisob ma’lumotlarini o’g’irlash yoki CSRF hujumlariga yo’l qo’yadigan saytlararo so’rovlar bo’yicha sud ekspertizasi (CSRF) xatolari. Muammolarni NCC Group mutaxassisi Viktor Gazdag aniqladi, u bir necha yuz Jenkins plaginlarini tahlil qildi. Mutaxassisning tushuntirishicha, Jenkins credentials.xml faylida parollarni shifrlasa ham, ba’zi plagin ishlab chiquvchilari hisob ma’lumotlarini saqlash uchun boshqa usullardan foydalanadilar. Ko’pgina hollarda, bu yechimlar hech qanday shifrlashdan foydalanmaydi. Bundan tashqari, foydalanuvchilar hisob ma’lumotlarini kiritadigan ba’zi veb-shakllar parollar yoki maxfiy tokenlarni ochib yuboradi.
CSRF zaifliklari foydalanuvchilarga hisob ma’lumotlarini tekshirish va serverga ulanish imkonini beruvchi plagin funksiyalari bilan bog’liq. Ular asosan ishlab chiquvchilar CSRF tokenidan foydalangan holda hujumlarning oldini oluvchi POST so’rovlarini amalga oshira olmaganliklari sababli yuzaga keladi.
So’nggi ikki yil ichida Jenkins ishlab chiquvchilari turli plaginlardagi zaifliklarni, jumladan, Gazdag tomonidan aniqlangan bir qator xatolarni tavsiflovchi bir nechta ogohlantirishlar berishdi.
Zaif plaginlar Twitter, AWS, VMware va Azure kabi keng ko’lamli xizmatlar bilan o’zaro ta’sir qiladi. Ko’pgina hollarda, dasturiy ta’minot plagin foydalanadigan dasturiy ta’minot sotuvchisi bilan aloqasi bo’lmagan uchinchi tomon ishlab chiquvchilari tomonidan yaratilgan.
Ba’zi plagin mualliflari o’z dasturlaridagi xatolarni allaqachon tuzatgan bo’lsalar-da, ko’plari hali ham zaifligicha qolmoqda. Shu bilan birga, Jenkins ishlab chiquvchilari hali ham tuzatilmagan zaifliklarga ega plaginlarning keng ro’yxatini e’lon qilishdi.
