هشدار محققان امنیتی درباره

آسیب‌پذیری در بیش از ۱۰۰ افزونه جنکینز «Jenkins» و خطرات مختلف برای شبکه‌های سازمانی توسعه نرم‌افزاری

یک محقق امنیتی در ۱۸ ماه گذشته تعدادی آسیب‌پذیری در بیش از ۱۰۰ افزونه جنکینز «Jenkins» را شناسایی و گزارش کرده است که با وجود تلاش‌های صورت گرفته برای اطلاع‌رسانی به توسعه‌دهندگان افزونه‌های جنکینز، اقدامی برای اصلاح این نقص‌های امنیتی صورت نگرفته است. گفته می‌شود این مساله شبکه‌های توسعه نرم‌افزاری سازمان‌هایی که از این افزونه‌ها در جنکینز استفاده می‌کنند را در معرض خطر قرار می‌دهد.

نرم‌افزار جنکینز «Jenkins» به‌عنوان یک سیستم استقرار و یکپارچه‌سازی مداوم (CI) در توسعه نرم‌افزارها، به تیم‌های مختلف توسعه‌دهنده نرم‌افزارها، اجازه اجرای آزمایش‌های خودکار و انجام عملیات مختلف را مبتنی بر نتایج تست‌ها می‌دهد که شامل راه‌اندازی برنامه‌های جدید و ارسال کد به سرورهای تولید و انتشار آن‌ها است. این برنامه به دلیل کارایی بالا و قابلیت‌های خودکار، به‌ویژه در بخش توسعه برنامه‌های سازمانی، بسیار محبوب است.

حال آنکه تیم توسعه اصلی جنکیمز در ۱۸ ماه گذشته، در حدود ۱۰ اطلاعیه امنیتی درباره آسیب‌پذیری‌های شناسایی شده در برخی از افزونه‌های این نرم‌افزار را منتشر کرده و به توسعه‌دهندگان و کاربران خود هشدار داده است که افزونه‌های آسیب‌پذیر را حذف کنند. با این حال کارشناسان معتقدند که این هشدارها به قدر کافی جدی گرفته نشده‌اند. 

برخی از این اطلاعیه‌ها و هشدارهای امنیتی به شرح زیر هستند:

Unsafe use of user names as directory names

Reflected Cross-Site Scripting vulnerability in Delivery Pipeline plugin

CSRF vulnerability and missing permission checks in GitHub Plugin allowed capturing credentials

SSH Agent Plugin could reveal SSH key passphrase when used inside pipeline

CSRF vulnerability in JUnit Plugin

Sandbox Bypasses in Script Security Plugin

Sandbox bypass in Script Security Plugin and Pipeline: Groovy Plugin

IRC Plugin stores credentials in plain text

 

آسیب‌پذیری‌ها فقط روی افزونه‌ها تاثیرگذارند

قابلیت‌های استاندارد جنکینز می‌تواند مانند دیگر ابزارهای مدرن وب از طریق افزونه‌ها گسترش پیدا کند و افزونه‌های جنکینز نیز مانند اکثر پروژه‌های متن‌باز، توسط توسعه‌دهندگان شخص ثالث ایجاد می‌شوند. اما متاسفانه همانند اتفاقی که امروزه برای برخی از پروژه‌های متن باز رخ می‌دهد، توسعه‌دهندگان قادر به ارائه پشتیبانی نامحدود برای افزونه‌های خود نیستند و برخی از این افزونه‌ها بدون هیچ به‌روزرسانی، برای همیشه رها شده‌اند.

در حال حاضر تیم توسعه اصلی جنکینز به کاربران خود هشدار داده است که به علت نقص‌های امنیتی اصلاح نشده در افزونه‌های این نرم‌افزار که بعضی از آن‌ها بسیار خطرناک هستند و دیگر به‌روزرسانی و پشتیبانی نمی‌شوند، باید کاربران و شرکت‌ها برای جلوگیری از بروز خطرات مختلف، استفاده از آن‌ها را متوقف کنند.

 

 

توضیحات بیشتر:

Story of a Hundred Vulnerable Jenkins Plugins