Jenkins插件破绽:明文保留的凭据泄漏 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Jenkins插件破绽:明文保留的凭据泄漏

申博_新闻事件 申博 28次浏览 未收录 0个评论

Jenkins是一个广泛应用的开源自动化效劳器,许可DevOps开发者来高效、可靠地构建、测试和布置软件。为了应用Jenkins模块化的架构,开发者能够经由过程插件来扩大个中心特性,许可其扩大剧本才能。研究人员统计发明一共有1600个Jenkins插件。个中一些插件保留了未加密的明文凭据。假如发作数据泄漏事宜,攻击者就能够接见这些信息。

本年7月11日和8月7日,Jenkins宣布了与明文保留凭据相干的一些平安公告。本文将议论该破绽和受影响的一些插件:

须要注重的是Port Allocator Testlink Caliper CI插件的破绽停止现在依然没有修复。当前eggPlant插件在运用时依然是不平安的。

接见保留的凭据

影响Jenkins插件的破绽能够被应用来盗取敏感的用户凭据。一旦有读或接见master文件体系的凭据泄漏,攻击者就能够接见相干的效劳。

插件设置数据一旦保留在位于 $JENKINS_HOME root中的xml文件的情势保留,该文件定义了每一个插件的构造和设置。其他情况下,插件的设置上以job设置文件的情势保留,比方$JENKINS_HOME/jobs/new-job/config.xml。假如凭据是插件设置的一部分,那末就应该以加密的情势保留,但是在Gogs Port Allocator Caliper CI Testlink和eggPlant插件中并非加密保留的。

凭据以未加密的明文情势保留:

Jenkins插件破绽:明文保留的凭据泄漏

 图1. 明文保留的API token

保留凭据的恰当体式格局是在 Credentials插件中受权给第三方凭据提供商,这是在设置文件中的credentialsId 援用的。

假如用户要读取设置文件,只要credentialsId 援用时可检察的。实在凭据是保留在援用中。

Jenkins插件破绽:明文保留的凭据泄漏

 图2. credentialsID 援用

Clop讹诈软件剖析

Clop是一类相对较新的勒索软件,于今年2月出现在公众视野中,Clop背后团队的主要目标是加密企业的文件,收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。 本文将对clop勒索软件的技术细节做分析,并分享其背后的运作信息。在过去的几个月里我们观察到的变体中,Clop的创作者使用了一些我们以前从未见过的创新技术。 鉴于Clop有许多变种,在本文中,我们只将重点放在它的主要版本及少

包含在默许发起插件列表中的Credentials插件是用来保留加密的凭据的。下面是凭据保留的概况:

Jenkins插件破绽:明文保留的凭据泄漏

 图3.运用Jenkins凭据援用来保留凭据

插件在 $JENKINS_HOME/credentials.xml中保留加密的凭据。

在上面的例子中,暗码保留以base64编码的体式格局保留在波形括号中,这是二进制数据编码、保留和转移到一种编码方案。经由过程运用base64解码器能够看到特定的非打印的字符。

事实上,加密的隐秘和加密元数据都是base64编码的。

Jenkins插件破绽:明文保留的凭据泄漏

用于解密的密钥硬编码在每一个Jenkins实例中。差别的Jenkins装置中运用的key差别,key加密保留在$JENKINS_HOME/secrets/hudson.util.Secret 文件中。没有一个单个master key能够翻开一切的实例。

hudson.util.Secret 文件是用来自master key的密钥举行AES加密的,在每一个装置中都是差别的。

庇护$JENKINS_HOME/secrets 目次免受之外的接见对防备保留的凭据泄漏是非常重要的。实行功课会影响一切的Jenkins平安,比方装置插件、建立功课、读取或提取凭据和其他私有数据。

平安发起

明文保留暗码对企业来说是一个非常大的要挟。但管理员要注重有$JENKINS_HOME/secrets 目次接见权限的用户都能够接见保留的凭据。$JENKINS_HOME/hudson.util.Secret 和 $JENKINS_HOME/secrets/master.key 是用来加密保留的暗码的文件,许可解密保留的凭据。

在Jenkins的默许设置中,Jenkins并不会实行平安搜检。因而,Jenkins发起用户实行最好平安实践,包含认证用户、实行接见掌握。假如功课必须在master节点运转,Jenkins发起运用 Job Restrictions插件,来限定功课实行或基于用户权限的节点设置。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-text-jenkins-plugin-vulnerabilities/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Jenkins插件破绽:明文保留的凭据泄漏
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址