現在リリースされている全てのTracLightningの脆弱性として、同梱のJenkinsのsecret.keyが TracLightningでインストールされた全てのJenkinsで共有されているという問題が発覚しました。 下記対処方法を参照し対処して頂くようお願いいたします。
Hudson/Jenkinsを含むTracLightning 3.2.0alpha2までの全てのリリース
Jenkinsを1.498以降へアップデートし、"Jenkinsの管理"からRe-keyingを実施。
https://wiki.jenkins-ci.org/display/SECURITY/Re-keying
Jenkins 1.498以降はJenkins自体での脆弱性によりsecret.keyが漏洩するという問題に対処するため、secret.keyを使わない別な方法で暗号化するという方法で対処するように変更になったため、今回発覚したTracLightningでsecret.keyが共有されているという問題が解消します。
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-01-04
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-02-16
なお本日リリースした3.2.0beta1では
を対処実施済みであり当該脆弱性の影響を受けません。
またJenkinsにはセキュリティ勧告が時折出ますのでJenkinsのメーリングリストや以下サイトにて定期的に情報を収集することを強くお薦めいたします。
https://wiki.jenkins-ci.org/display/JENKINS/Security+Advisories
[PageInfo]
LastUpdate: 2013-03-17 08:26:07, ModifiedBy: kanu
[Permissions]
view:all, edit:login users, delete/config:members
Fork
edit