本周早些时候,Jenkins基础架构团队发现必威国际有限公司了一次针对我们已弃用的Confluence服务的成功攻击。我们立即做出回应,在调查潜在影响的同时,将受影响的服务器离线。目前,我们没有理由相信任何Jenkins版本、插件或源代码受到了影响。必威国际有限公司

到目前为止,在我们的调查中,我们了解到融合cve - 2021 - 26084exploit被用来在运行服务的容器中安装我们认为是Monero矿工的东西。从那里攻击者将无法访问我们的其他基础设施。Confluence确实整合了我们的综合身份系统,这也是Jira, Artifactory和许多其他服务的动力。

Jenkins核心和插件版本的信任和安全是我们的最高必威国际有限公司优先级。我们没有任何迹象表明开发者凭证在攻击期间被窃取了。目前,我们无法做出其他断言,因此只能做最坏的假设。我们现在正在采取行动阻止发布,直到我们与我们的开发人员社区重新建立信任链。我们已经重新设置了我们综合身份系统中所有账户的密码。作为这项工作的一部分,我们正在改进密码重置系统。

目前,Jenkins基础设施团队已经必威国际有限公司永久禁用了Confluence服务,轮换了特权证书,并采取了积极的措施,进一步减少了我们基础设施的访问范围。我们正与Linux基金会和持续交付基金会的同事密切合作,以确保不直接由Jenkins项目管理的基础设施也能得到审查。必威国际有限公司

2019年10月我们将Confluence服务器设置为只读,从而使其不再用于项目的日常使用。那时,我们开始将文档和变更日志从wiki迁移到GitHub存储库。这种迁移一直在进行中,数百个插件和许多其他文档页面从wiki转移到GitHub存储库。

我们非常感谢那些追随我们的人负责信息披露过程并联系了我们关于这个影响詹金斯项目的漏洞。必威国际有限公司

我们会继续采取积极措施,改善基础设施的保安,并鼓励大家跟进推特为进一步的更新。

关于作者
r·泰勒突堤

r·泰勒·克罗伊(R. Tyler Croy)在过去七年一直是詹金斯项必威国际有限公司目的一部分。在避免贡献任何Java代码的同时,Tyler参与了项目保持运行的许多其他方面,比如这个网站、基础设施、治理等。

讨论