Возможная компрометация инфраструктуры Jenkins
Несколько дней назад команда, отвечающая за инфраструктуру Jenkins обнаружила потенциальную компрометацию. В качестве превентивной меры была принята проверка системы. Стоит заметить, что потенциально скомпрометированная машина имела доступ к зеркалам и данным аккаунтов участников сообщества.
Пользователям аккаунта Jenkins (в том числе и те, кто оставлял отчёты об ошибках в JIRA или писал в Wiki проекта) отправлены по e-mail временные пароли. Как и полагается, они срок их существования истекает через определённое время, после входа через временный пароль, так что после аутентификации необходимо сменить пароль на постоянный.
Проведена проверка бинарных сборок программ Jenkins на зеркалах, изменений не обнаружено.
Описанное выше не относится к self-hosted серверам Jenkins. Информация о деталях взлома пока не разглашается, однако компания утверждает, что меры для недопущения подобных инцидентов будут приняты через улучшение разграничения доступа сети и проведение аудита безопасности.
>>> Новость на OpenNet
jenkins
