OSDN -- Desarrollar y descargar software de código abierto
Translation Status of Español translation status for es
edit | Title Index |  Recent Changes  | 

TracLightningに同梱のJenkinsのセキュリティに関する重要なお知らせ

現在リリースされている全てのTracLightningの脆弱性として、同梱のJenkinsのsecret.keyが TracLightningでインストールされた全てのJenkinsで共有されているという問題が発覚しました。 下記対処方法を参照し対処して頂くようお願いいたします。

対象

Hudson/Jenkinsを含むTracLightning 3.2.0alpha2までの全てのリリース

対処方法

Jenkinsを1.498以降へアップデートし、"Jenkinsの管理"からRe-keyingを実施。
https://wiki.jenkins-ci.org/display/SECURITY/Re-keying

問題の影響

  • システム設定画面やジョブの設定画面でパスワードを入力している場合、Jenkinsに読み込みアクセスできるユーザーにその情報が漏洩してしまう
  • JNLPスレーブなど外部からのスレーブ接続が可能になっている場合に、悪意のあるユーザーが接続できてしまう

補足

 Jenkins 1.498以降はJenkins自体での脆弱性によりsecret.keyが漏洩するという問題に対処するため、secret.keyを使わない別な方法で暗号化するという方法で対処するように変更になったため、今回発覚したTracLightningでsecret.keyが共有されているという問題が解消します。

 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-01-04
 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-02-16

なお本日リリースした3.2.0beta1では

  • secret.keyの同梱中止
  • Jenkinsを1.505へ更新

を対処実施済みであり当該脆弱性の影響を受けません。

またJenkinsにはセキュリティ勧告が時折出ますのでJenkinsのメーリングリストや以下サイトにて定期的に情報を収集することを強くお薦めいたします。
https://wiki.jenkins-ci.org/display/JENKINS/Security+Advisories

edit history delete
config

[PageInfo]  LastUpdate: 2013-03-17 08:26:07, ModifiedBy: kanu
[Permissions]  view:all, edit:login users, delete/config:members
[IRI]  https://es.osdn.net/projects/traclight/wiki/Announce20130316