TracLightningに同梱のJenkinsに関するセキュリティについての重要なお知らせ

152 views
Skip to first unread message

かぬ

unread,
Mar 16, 2013, 1:19:07 AM3/16/13
to shibuy...@googlegroups.com
Shibuya.tracならびにTracLightning利用者の皆様、こんにちは
TracLightningコミッタの かぬ です

現在リリースされている全てのTracLightningの脆弱性として、同梱のJenkinsのsecurity.keyが
TracLightningでインストールされた全てのJenkinsで共有されているという問題が発覚しました。
TracLightningの皆様は下記対処方法を参照し対処して頂くようお願いいたします。

・対象
Hudson/Jenkinsが同梱されたTracLightning 3.2.0alpha2までの全てのリリース

・対処方法
 Jenkinsを1.498以降へアップデートし、"Jenkinsの管理"からRe-keyingを実施。
 https://wiki.jenkins-ci.org/display/SECURITY/Re-keying

・問題の影響
 ・システム設定画面やジョブの設定画面でパスワードを入力している場合、
  Jenkinsに読み込みアクセスできるユーザーにその情報が漏洩してしまう
 ・JNLPスレーブなど外部からのスレーブ接続が可能になっている場合に、
  悪意のあるユーザーが接続できてしまう

・補足
 Jenkins 1.498以降はJenkinsでの脆弱性によりsecurity.keyが漏洩するという
 問題に対処するため、 security.keyを使わない別な方法で暗号化するという方法
 で対処するように変更りました。
 これにより最新のJenkinsを利用することにより今回発覚したTracLightningで
 security.keyが共有されることによる問題を解消することが可能です。
 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-01-04
 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-02-16


なお本日リリースした3.2.0beta1では
 ・security.keyの同梱中止
 ・Jenkinsを1.505へ更新
を対処実施済みであり当該脆弱性の影響を受けません。

またJenkinsにはセキュリティ勧告が時折出ますのでJenkinsのメーリングリストや以下サイトにて定期的に情報を
収集することを強くお薦めいたします。
https://wiki.jenkins-ci.org/display/JENKINS/Security+Advisories


TracLightningコミッタ
鹿糠 "かぬ" 秀俊
kanu...@gmail.com
Reply all
Reply to author
Forward
0 new messages