Jenkins-Team schließt Sicherheitslücken nach wiederhergestellter User-Datenbank
Nach Ausfall des Jenkins-Artifactory-Portals und anschließendem Restore der LDAP-Datenbank konnte das CI-Server-Team potenzielle Sicherheitslücken schließen.
(Bild: Shutterstock.com / Gorodenkoff)
Störungen in einem Kubernetes-Cluster, auf dem das Jenkins-Artifactory-Portal läuft, haben am 2. Juni offenbar den kompletten Neuaufbau des Systems notwendig gemacht. Dabei gingen nach Auskunft des Entwicklerteams hinter dem Continuous-Integration-(CI)-Server Nutzerinformationen in der LDAP-Datenbank (Lightweight Directory Access Protocol) verloren – konkret betroffen waren Änderungen der vergangenen drei Monate. Nach Hinweisen betroffener Anwender zu potenziellen Sicherheitslücken, die zu Account-Übernahmen oder schädlichen Uploads in das Repository führen könnten, haben die Jenkins-Verantwortlichen um Oleg Nenashev Schutzmaßnahmen eingeleitet.
Uploads von Artefakten wie Plug-ins, Jenkins Core und Modules oder Developer Tools sind seit dem 9. Juni blockiert. Eine Überprüfung sämtlicher nach dem Systemausfall veröffentlichten Artefakte habe allerdings keine potenziell schädlichen Uploads aufgedeckt. Nachdem auch die fehlenden Daten zu den Maintainer-Accounts mit dem Stand zum 1. Februar 2020 wiederhergestellt wurden, macht sich das Jenkins-Team daran, sämtliche Betroffenen zu informieren.
Im Zuge der Restaurierung der LDAP-Datenbank werden auch die Passwörter der mehr als 100.000 Nutzer zurückgesetzt. Accounts, die im Zeitraum von Anfang Februar bis Juni eine Löschung beantragt hatten, sollen auf Basis der Daten aus Jira Tickets sowie privaten Nachrichten an den Jenkins Infra Officer nachträglich entfernt werden. Betroffene können sich über den Channel #jenkins-infra auf Freenode IRC oder die Jenkins-Infrastructure-Mailing-Liste an den Anbieter wenden.
(map)
