Reply
 
Thread Tools
  #1  
Old 19-09-2019, 14:12
Masterchiefs Masterchiefs is offline
Thành viên tích cực
Join Date: 03-2011
Posts: 17,351
200.000 máy chủ cài Jenkins gặp lỗi

Một lỗ hổng được phát hiện trên Jenkins, ứng dụng nguồn mở tự động hóa nhiều công đoạn phát triển phần mềm, giúp hacker chiếm quyền điều khiển máy tính.

Theo chuyên gia bảo mật người Hà Lan Francesco Soncina, thông qua lỗ hổng này, hacker sẽ chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin của doanh nghiệp và thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật...

Hiện có hơn 200.000 máy chủ cài đặt Jenkins chứa lỗ hổng được công khai trên Internet.



Ảnh: Testools.

Công ty An ninh mạng Việt Nam VSEC đánh giá lỗ hổng ở mức nghiêm trọng đối với hệ thống máy tính của doanh nghiệp Việt. Cụ thể, hiện nay, CI (Continuous Integration) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam, và 80% doanh nghiệp sử dụng hệ thống CI đều dùng Jenkins để tự động hoá trong nhiều công đoạn phát triển phần mềm và sản phẩm có nhiều người dùng như các trang thương mại điện tử, mạng xã hội, ứng dụng chat...

Lỗ hổng xuất hiện trên Git Client Plugin của Jenkins từ bản 2.8.4 trở về trước. Việc không kiểm soát giá trị đầu vào tại tham số Repository URL trong Git Client Plugin là mấu chốt giúp hacker thực thi mã lệnh trái phép trên máy chủ.

VSEC khuyến cáo các tổ chức, doanh nghiệp cập nhật bản mới nhất của Git Client Plugin. Ngoài ra, doanh nghiệp cần hạn chế công khai các hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.
__________________
Sang F33 Next Voz 4.0 điểm báo, đọc báo nào các đồng râm

https://next.voz.vn/forums/dim-bao.33/
Reply With Quote
  #2  
Old 19-09-2019, 14:54
chiphong chiphong is offline
Junior Member
Join Date: 10-2007
Posts: 3
Re: 200.000 máy chủ cài Jenkins gặp lỗi

May quá, dùng CircleCI
Reply With Quote
  #3  
Old 19-09-2019, 20:49
thietmadochanh thietmadochanh is offline
Senior Member
Join Date: 06-2012
Posts: 666
Re: 200.000 máy chủ cài Jenkins gặp lỗi

Đang xài gitlab runner, đi ra

via vozForums for iPhone
Reply With Quote
  #4  
Old 19-09-2019, 23:04
4nh7i3m 4nh7i3m is offline
Senior Member
Join Date: 04-2010
Posts: 302
Re: 200.000 máy chủ cài Jenkins gặp lỗi

Bài gốc với mô tả và proof of concept.

https://iwantmore.pizza/posts/cve-2019-10392.html

Sent from Google Pixel 2 using vozFApp
__________________
La liếm chút. Giới thiệu anh em trang Sách Nói tự làm
https://sachxua.org
Reply With Quote
  #5  
Old 20-09-2019, 02:01
QuynhNhu's Avatar
QuynhNhu QuynhNhu is offline
Senior Member
Join Date: 02-2011
Location: Some where in the Milkyway
Posts: 7,530
Re: 200.000 máy chủ cài Jenkins gặp lỗi

Cài BKAV vào chống hack

Gửi từ Samsung SM-J320H bằng vozFApp
__________________
650D X99-E WS E5-1650V3 Ballistix Sport AT 6x8G 2666 GTX980 FTW ACX2 PrimeGold 1000 860EVO 500GB 55X7000E
2K: 2048x1080 # QHD: 2560x1440
WoT: Thor_Odinson__
Reply With Quote
  #6  
Old 20-09-2019, 09:44
ss3000's Avatar
ss3000 ss3000 is offline
Đã tốn tiền
Join Date: 04-2008
Posts: 4,256
Re: 200.000 máy chủ cài Jenkins gặp lỗi

Quote:
Originally Posted by QuynhNhu View Post
Cài BKAV vào chống hack

Gửi từ Samsung SM-J320H bằng vozFApp
BKAV nó tầm thương hiệu quốc tế rồi, mấy cái nhỏ lẻ này nó khinh không thèm nhìn.
__________________
Làm lại từ đầu
Quote:
back   dark   black
Reply With Quote
Reply

« Previous Thread | Next Thread »
Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off


All times are GMT +7. The time now is 12:46.