= TracLightningに同梱のJenkinsのセキュリティに関する重要なお知らせ = 現在リリースされている全てのTracLightningの脆弱性として、同梱のJenkinsのsecret.keyが TracLightningでインストールされた全てのJenkinsで共有されているという問題が発覚しました。 下記対処方法を参照し対処して頂くようお願いいたします。 == 対象 == Hudson/Jenkinsを含むTracLightning '''3.2.0alpha2までの全てのリリース''' == 対処方法 == Jenkinsを1.498以降へアップデートし、"Jenkinsの管理"からRe-keyingを実施。[[BR]] https://wiki.jenkins-ci.org/display/SECURITY/Re-keying == 問題の影響 == * システム設定画面やジョブの設定画面でパスワードを入力している場合、Jenkinsに読み込みアクセスできるユーザーにその情報が漏洩してしまう * JNLPスレーブなど外部からのスレーブ接続が可能になっている場合に、悪意のあるユーザーが接続できてしまう == 補足 == Jenkins 1.498以降はJenkins自体での脆弱性によりsecret.keyが漏洩するという問題に対処するため、secret.keyを使わない別な方法で暗号化するという方法で対処するように変更になったため、今回発覚したTracLightningでsecret.keyが共有されているという問題が解消します。 https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-01-04[[BR]] https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2013-02-16 なお本日リリースした3.2.0beta1では * secret.keyの同梱中止 * Jenkinsを1.505へ更新 を対処実施済みであり当該脆弱性の影響を受けません。 またJenkinsにはセキュリティ勧告が時折出ますのでJenkinsのメーリングリストや以下サイトにて定期的に情報を収集することを強くお薦めいたします。[[BR]] https://wiki.jenkins-ci.org/display/JENKINS/Security+Advisories
Fork
編集