Прoблeмa связaнa с нaличиeм уязвимoсти в кoдoвoй бaзe Jenkins.
Сeрвeры, рaбoтaющиe нa бaзe плaтфoрмы в (видах aвтoмaтизaции зaдaч Jenkins, мoгут бытовать испoльзoвaны для oсущeствлeния DDoS-aтaк. Дaннaя вoзмoжнoсть связaнa с нaличиeм уязвимости CVE-2020-2100 (была исправлена в версии Jenkins 2.219) в кодовой базе Jenkins.
Складно предупреждению разработчиков, установки Jenkins поддерживают вдвоём протокола сетевого обнаружения – UDP multicast/broadcast и DNS multicast, которые помогают кластерам Jenkins показывать друг друга в сети. Тот и другой эти протокола включены объединение умолчанию.
Протокол UDP часто используется злоумышленниками чтобы усиления DDoS-атак. На правах выяснил специалист Кембриджского университета Адя Торн (Adam Thorn), атакующие могут эксплуатнуть протокол Jenkins UDP (порт 33848) в целях тех же целей.
«Единственный байтовый радиозапрос. Ant. ответ к этому сервису вернет паче чем 100 байтов метаданных Jenkins, подобно как может быть использовано в DDoS-атаках получи мастер Jenkins», – пояснили разработчики. Они полагают, по какой причине серверы Jenkins могут красоваться использованы в DDoS-атаках для того трафика амплификации до 100 в один из дней.
Тем не менее, как-нибуд специалисты протестировали атаку, оказалось, а она ненадежна, поскольку серверы выходят с строя.
Еще одна переделка заключается в том, что вышеупомянутая слабость позволяет вынудить серверы исполнять друг другу непрерывный фонтан пакетов и тем самым породить сбой в их работе.
Компаниям, использующим серверы Jenkins, рекомендуется освежиться до релиза 2.219 то есть (т. е.) заблокировать входящий трафик (морские ворота 33848).
Jenkins — написанный на Java чистосердечный инструмент, предназначенный для обеспечения процесса непрерывной интеграции программного обеспечения.
Ключ