Açık kaynak otomasyon aracı Jenkins, birçok yazılım geliştirme ortamında kullanılmaktadır. Saldırganlar, sistemlere erişim elde etmek için çeşitli güvenlik açıklarını kullanabilir. Henüz tüm güvenlik güncellemeleri yayınlanmadı.
Tehlikeli güvenlik açıkları
Geliştiriciler, güvenlik açığı bulunan eklentileri bir uyarı iletisinde listeler. Bunlar arasında Ansible, E-posta Uzantıları ve SAML Tek Oturum Açma yer alır. Sekiz boşluk tehdit seviyesinde”yüksek” sınıflandırılmış.
İş Eklentisine (CVE-2023-32977) yapılan kalıcı bir XSS saldırısından saldırganlar sorumlu olabilir.yüksek“) veya TestNG Sonuçları (CVE-2023-32984 “)yüksek“). Dosya parametreleri eklentisindeki bir güvenlik açığı (CVE-2023-32986 “)yüksek“), saldırganların dosyaları manipüle etmesine izin verir.
SAML Tek Oturum Açma aracılığıyla kimlik doğrulamasındaki başarısızlıklar, diğer şeylerin yanı sıra, saldırganların ortadaki adam gibi davranmasına ve kulak misafiri olmasına yol açabilir (CVE-2023-32993″yarım“, CVE-2023-32994”yarım“).
Güvenlik açığı hakkında bilgi (CVE-2023-33001 “yarım“) HashiCorp Vault Plugin’de kimlik bilgilerini sızdırabilir. Belirli koşullar altında, kimlik bilgileri derleme günlüğünde yeterince maskelenmez. Ancak, henüz bir güvenlik güncellemesi mevcut değil.
Geliştiriciler şu anda saldırganların güvenlik açıklarından nasıl yararlanabileceğini açıklamıyor.
Yamalar bekleniyor
Açıkların çoğu için güvenlik güncellemeleri zaten yayınlandı. Aşağıdaki eklentiler için yamalar henüz duyurulmadı. Ortaya çıkıp çıkmayacağı ve ne zaman çıkacağı henüz bilinmiyor.
(İtibaren)
Haberin Sonu
Tehlikeli güvenlik açıkları
Geliştiriciler, güvenlik açığı bulunan eklentileri bir uyarı iletisinde listeler. Bunlar arasında Ansible, E-posta Uzantıları ve SAML Tek Oturum Açma yer alır. Sekiz boşluk tehdit seviyesinde”yüksek” sınıflandırılmış.
İş Eklentisine (CVE-2023-32977) yapılan kalıcı bir XSS saldırısından saldırganlar sorumlu olabilir.yüksek“) veya TestNG Sonuçları (CVE-2023-32984 “)yüksek“). Dosya parametreleri eklentisindeki bir güvenlik açığı (CVE-2023-32986 “)yüksek“), saldırganların dosyaları manipüle etmesine izin verir.
SAML Tek Oturum Açma aracılığıyla kimlik doğrulamasındaki başarısızlıklar, diğer şeylerin yanı sıra, saldırganların ortadaki adam gibi davranmasına ve kulak misafiri olmasına yol açabilir (CVE-2023-32993″yarım“, CVE-2023-32994”yarım“).
Güvenlik açığı hakkında bilgi (CVE-2023-33001 “yarım“) HashiCorp Vault Plugin’de kimlik bilgilerini sızdırabilir. Belirli koşullar altında, kimlik bilgileri derleme günlüğünde yeterince maskelenmez. Ancak, henüz bir güvenlik güncellemesi mevcut değil.
Geliştiriciler şu anda saldırganların güvenlik açıklarından nasıl yararlanabileceğini açıklamıyor.
Yamalar bekleniyor
Açıkların çoğu için güvenlik güncellemeleri zaten yayınlandı. Aşağıdaki eklentiler için yamalar henüz duyurulmadı. Ortaya çıkıp çıkmayacağı ve ne zaman çıkacağı henüz bilinmiyor.
- HashiCorp Kasa Eklentisi
- LoadComplete destek eklentisi
- Etiket profili eklentisi
- TestComplete destek eklentisi
- WSO2 OAuth eklentisi
(İtibaren)
Haberin Sonu