TOP > IT・テクノロジー > Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表 - ITmedia エンタープライズ

Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表 - ITmedia エンタープライズ

12コメント 登録日時:2019-05-09 13:49 | ITmediaキャッシュ

オープンソースCIツール「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている問題も指摘された。...

Twitterのコメント(12)

CIツールはcircleci使おうかな
Jenkinsは脆弱性の問題が最近あったから避けたほうがいいかな
@task_jp  これだったりして…何かpastebin2つ経由してスクリプト持ってきて.ssh/以下見て自分をばら撒きつつマイニングするmigrationdなんてプロセスがjenkinsユーザーのcrondに登録されたりとかね。
あー日本語記事きてたのね / “ エンタープライズ”
困りますね。 |
見てる:
これ、ポート番号を8443で運用してたのに攻撃アクセスが結構な頻度で来ていたのでご注意を。 / “ エンタープライズ”
Jenkinsおじさんピンチ
>
これ 最初しか読めないけど ImposterMiner のアレかな
"「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている…"
この中のプラグインの問題、依存ライブラリが古くなってメンテされなくなる問題に通じる気がする。>
インターネット上に置いとくJenkinsにはリバースプロキシの方でも認証の仕組みをかぶせといた方が良いと思う。OpenIDで認証できるモジュールがApacheにもNginxにもあって便利だよ。 / “Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ…”
以上

記事本文: Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表 - ITmedia エンタープライズ

関連記事