 Who's Online
|
|
Zur Zeit sind Gäste und Mitglied(er) online.
Sie sind ein anonymer Benutzer. Sie können sich hier anmelden
|
|
Online Werbung
|
|
|
Hauptmenü
|
|
|
Languages
|
|
|
Sprache für das Interface auswählen
|
|  |
|
|
|
|
|
|
|
News - Central - News Center & News Guide !
 Jenkins Server von internen Endlosschleifen bedroht
Geschrieben am Montag, dem 10. Februar 2020 von News-Central.de
|
|
PR-Gateway: Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt. Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betreibern von Jenkins Servern selbst, da ein Hacker mit nur einem gespooften UDP-Paket eine Endlosschleife aus Anfragen und Antworten zwischen mehreren Jenkins Servern initiieren kann, die erst beendet wird, wenn auch die jeweiligen Services beendet werden.
"Viele DevOps-Teams verlassen sich auf Jenkins, um ihre Anwendungen zu entwickeln, zu testen und kontinuierlich in Cloud- und Shared Hosting-Umgebungen wie Amazon, OVH, Hetzner, Host Europe, DigitalOcean, Linode und vielen anderen zu implementieren" so Pascal Geenens, Cyber Security Evangelist bei Radware. "Ähnlich wie bei Memcrashed gehen die Leute, die im Rahmen des Open-Source-Projekts Jenkin entwickeln, davon aus, dass diese Server nur intern zur Verfügung stehen werden. In Wirklichkeit funktionieren diese Annahmen jedoch nicht gut, und viele Jenkins-Server sind tatsächlich öffentlich zugänglich."
Reflective DoS
Jenkins unterstützt standardmäßig zwei Netzwerkerkennungsdienste: UDP-Multicast/Broadcast und DNS-Multicast. Die Schwachstelle ermöglicht es Angreifern, Jenkins-Server zu missbrauchen, indem sie UDP-Anforderungen von Port UDP/33848 aus reflektieren, was zu einem verstärkten DDoS-Angriff mit Jenkins-Metadaten führt. Dies ist möglich, weil Jenkins/Hudson-Server den Netzwerkverkehr nicht ordnungsgemäß überwachen und offen gelassen werden, um andere Jenkins/Hudson-Instanzen zu entdecken. Jenkins/Hudson hört jeden Datenverkehr auf dem UDP-Port 33848 ab und reagiert darauf. Ein Angreifer kann entweder lokal ein UDP-Broadcast-Paket an 255.255.255.255.255:33848 senden oder er kann ein UDP-Multicast-Paket an JENKINS_REFLECTOR:33848 einsetzen. Wenn ein Paket empfangen wird, sendet Jenkins oder sein Vorgänger Hudson unabhängig von der Nutzlast eine XML-Antwort mit Metadaten in einem Datagramm an den anfordernden Client. Durch die Erstellung von UDP-Paketen mit der IP eines Opfers als Quelle und der IP eines exponierten Jenkins-Servers und Port udp/33848 als Ziel kann ein böswilliger Akteur eine reflektierende Flut von Paketen zwischen dem Jenkins-Server und dem Opfer erzeugen. Der Verstärkungsfaktor variiert zwischen den Jenkins-Servern, beträgt aber im Durchschnitt 6,44.
Endlosschleife zwischen Jenkins-Servern
Sorgfältig gestaltete UDP-Pakete können auch zwei Jenkins-Server in eine Endlosschleife von Antworten bringen, wodurch ein Denial-of-Service gegen beide Server verursacht wird. Dies ist möglich, weil der Jenkins-Discovery-Service auf jede Anfrage reagiert, unabhängig von deren Inhalt. Ein UDP-Paket, das als Quelle die IP eines exponierten Servers und als Ziel die IP eines anderen exponierten Jenkins-Servers verwendet, wobei sowohl Quelle als auch Ziel auf den Port udp/33848 des Jenkins-Discovery Service gesetzt sind, gehen beide Jenkins-Server in eine unendliche Antwortschleife. Ein böswilliger Akteur wäre laut Radware zudem in der Lage, mehrere unendliche Antwortschleifen zwischen beliebigen exponierten Jenkins-Servern im Internet zu erstellen, wodurch schließlich ein vollständig vermaschter, unendlicher Strom von Paketen zwischen den exponierten Internet-Hosts entsteht.
Wenn der Port udp/33848 im Internet offengelegt wird, wird er zu einer öffentlichen Bedrohung und kann für DrDoS mit Verstärkung missbraucht oder dazu genutzt werden, die Jenkins-Cluster mehrerer Organisationen auszuschalten. Die Schwachstelle wurde in Jenkins 2.219 und LTS 2.204.2 behoben, indem sowohl UDP-Multicast/Broadcast als auch DNS-Multicast standardmäßig deaktiviert wurden.
Radware® (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.
Weitere Informationen finden Sie unter www.radware.com
Radware GmbH
Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen / Frankfurt am Main
+49-6103-70657-0
https://www.radware.com
Pressekontakt:
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
radware@prolog-pr.com
089 800 77-0
https://www.prolog-pr.com/radware
(Weitere interessante Software News & Software Infos & Software Tipps gibt es hier.)
Zitiert aus der Veröffentlichung des Autors >> PR-Gateway << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
|
|
Für die Inhalte dieser Veröffentlichung ist nicht News-Central.de als News-Portal sondern ausschließlich der Autor (PR-Gateway) verantwortlich (siehe AGB). Haftungsausschluss: News-Central.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "Jenkins Server von internen Endlosschleifen bedroht" | Anmelden/Neuanmeldung | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
|
Keine anonymen Kommentare möglich, bitte zuerst anmelden |
|
| Diese Web-Videos bei News-Central.de könnten Sie auch interessieren: |
Salvinis Lega auf Rekordhoch bei Kommunalwahlen
 | EU-Sondertreffen: Statements von Emmanuel Macron un ...
 | Wahl in der Türkei: Rede von Recep Tayyip Erdoğ ...
 |
|
|
| Diese Testberichte bei News-Central.de könnten Sie auch interessieren: |
 Rotwein Femar Roma Rosso DOC Der Femar Roma Rosso DOC (0,75L) von Femar Vini Sr, IT-Monte Porzio Catone, Roma, ist einer der besten Rotweine, den man zu seinem Preis bekommt - kaum zu toppen!
(Weitere Testberichte zu Le ... (Peter, 07.4.2024)
REEVA Instant-Nudelgericht RIND GESCHMACK Reeva Instant Nudeln mit BBQ-Rindfleischgeschmack (60g):
In nur 5 Minuten fertig – mit 300 ml heißem Wasser übergießen, 5 Minuten ziehen lassen und umrühren.
Solide kleine Mahlzeit ... (xyz_101, 04.4.2024)
Saperavi 2018 - Rotwein aus Russland Saperavi ist eine dunkle Rebsorte aus dem Alasani-Tal in der Region Kachetien in Ost-Georgien.
Der russische Saperavi 2018 kommt aus Sennoy im Temryuksky District desKrasnodar Kra ... (HildeBL2022, 20.2.2023)
Japanische Nudelsuppe Ramen von OYAKATA (Sojasoße) Hier in der Variante mit dem Geschmack von Sojasoße und einer Gemüsemischung aus Schnittlauch, Mais, Karotten und Lauch.
Mir hat sie nicht zugesagt - ich fand sie geschmacksarm.
( ... (KlausFPM, 20.2.2023)
Wesenitz-Bitter - schmackhafter sächsischer Magenbitter Der Sächsischer Magenbitter Wesenitz-Bitter (33%) ist mild und schmackhaft.
Der Wesenitz-Bitter wird seit 1906 nach einem überlieferten Rezept in Dürrröhrsdorf hergestellt.
Saftorangen
Zur Zeit im Angebot bei Famila:
Ägyptische Saftorangen "Valencia".
Bitte beachten: Bei optimaler Reife ist das Verhältnis zwischen Süße und Säure besonders ausgew ... (Heinz-absolut-Berlin, 05.5.2021)
Badesalz AntiStress 1300g - Meersalz mit 100% natürlichem ätherischem Rosmarin- & Wacholderöl
Das Meersalz verbessert die Hautbeschaffenheit und hat auf den Körper eine positive Wirkung, es versorgt ihn mit notwendigen Makro-und Mikroelementen.
Das Badesalz ist reich ... (Bernd-Berlin-13189, 05.5.2021)
Lamm-Hüfte tiefgefroren aus Neuseeland (Metro)
Lamm-Hüfte tiefgefroren aus Neuseeland von der Metro
4 Stück á 175 g Stücke, ohne Fettdeckel, ohne Knochen, aeinzeln vak.-verpackt ca. 700 g
Qualität und Geschmac ... (Petra-38-Berlin, 05.5.2021)
Greywacke Sauvignon Blanc Marlborough NZL trocken 0,75l
Ein trockener Weißwein mit kräftiger gelber Farbe aus Neuseeland, würziger Geschmack mit Fruchtaromen.
Er passt sehr gut zu Gerichten mit Meeresfrüchten und zu asiatischen G ... (Heinz-integerBLN, 02.5.2021)
Doña María Mole Gewürzpaste
Diese Paste ist das Topping für ihre Enchiladas.
Und wenn sie sich beim Essen fragen, ist da etwa Schokolade drin, richtig, auch die kann man zum Würzen nehmen.
B ... (Frederik de Kulm, 24.4.2021)
| Diese News bei News-Central.de könnten Sie auch interessieren: |
Thycotic sichert privilegierte Anmeldedaten in Kubernetes durch erweiterte Integration (PR-Gateway, Donnerstag, 16. Juli 2020)
Dank einer neuen Integration mit dem Open-Source-Container-Management-System Kubernetes (K8s) können Kunden des PAM-Spezialisten Thycotic privilegierte Zugangsdaten ab sofort sowohl im Secret Server als auch im DevOps Secrets Vault verwalten. Sie verfügen damit über einen voll ausgestatteten PAM-Tresor, der Sicherheit innerhalb ihrer DevOps-Pipeline über alle Kundennetzwerke hinweg gewährleistet.
Die teilweise sperrigen Prozesse und Workflows von DevOps-Umgebungen begünstigen Sicherheitsl ...
Jenkins Server von internen Endlosschleifen bedroht (PR-Gateway, Montag, 10. Februar 2020)
Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt. Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betrei ...
Philadelphias Countryside - ein Paradies für Gartenfreunde (PR-Gateway, Freitag, 30. November 2018)
Die Umgebung von Philadelphia bietet nach einer Stadtbesichtigung die perfekte Gelegenheit für pure Erholung. Brandywine Valley und Valley Forge laden ein zu einer Atempause - in idyllischen Gärten, die zu jeder Jahreszeit ihren besonderen Reiz entfalten, und einer üppig-grünen Landschaft, durchzogen von Flüssen und Bächen, dichten Wäldern und weiten Wiesen.
Weniger als 50 Kilometer von der City of Brotherly Love entfernt befindet sich ein malerisches Fleckchen Erde, das unter anderem mi ...
Der unabhängige Anbieter von Lösungen für Smart Digital Transformation feiert 25-jähriges Bestehen (PR-Gateway, Donnerstag, 13. September 2018)
ATS Gesellschaft für angewandte technische Systeme mbH aus Kassel
Die ATS Gesellschaft für angewandte technische Systeme hat einen weiteren Meilenstein erreicht und feiert ihr 25-jähriges Bestehen. Im Laufe der langjährigen Geschäftstätigkeit hat ATS ein bewährtes Portfolio an Lösungen für Automatisierung, Qualitätsmanagement und industrielle IT aufgebaut. Aus einem kleinen Standort mit 15 Mitarbeitern sind mittlerweile 3 Standorte (Kassel, Korbach, Neustadt an der Weinstraße) mit insgesa ...
Flexera erhöht Automatisierungsgrad für Open-Source-Management (PR-Gateway, Montag, 13. August 2018)
FlexNet Code Insight 2018 automatisiert die Erstellung der Bill of Materials und erhöht damit die Sicherheit und Transparenz in der Software Supply Chain
München, 13. August 2018 - Flexera, Anbieter von Lösungen für Softwarelizenzierung, IT-Security und Installation, vereinfacht mit Musik für chronisch kranke Kinder (PR-Gateway, Montag, 07. Mai 2018)
Benefizkonzert zugunsten der Haunerschen Kinderklinik München
Am 16. Mai 2018 findet in der Münchner Herz Jesu Kirche ein von Rotary München 100 initiiertes Konzert des Bundespolizeiorchester begleitet von Orgel und Sopran statt. Der Erlös geht an Projekte für chronisch kranke Kinder und deren Familien an der Haunerschen Kinderklinik in München.
Das Konzert: Das Bundespolizeiorchester, ein Ensemble aus 45 Berufsmusikern ist ein sinfonisches Blasorchester, das weit über die Bundes ...
Parasoft auf dem ESE Kongress 2017 (PR-Gateway, Montag, 13. November 2017)
Software Testing Tools im Fokus
Parasoft, ein führender Anbieter automatisierter Softwaretest-Lösungen, präsentiert seine Produkte auf dem ESE Kongress (4.- 8.12. in Sindelfingen). Diese ermöglichen das einfache Ausführen vieler Funktionalitäten wie Embedded Software Testing, Funktionale Sicherheit, Runtime Testing, Next Generation Code Analyse, Standard-Konformität und Zertifizierung.
Im Fokus steht die Development Testing Plattform (DTP) als einheitliche Anwendung von Software-T ...
Parasoft: Neue Continuous Testing Lösungen (PR-Gateway, Freitag, 27. Oktober 2017)
Neue Releases von Parasoft SOAtest und Virtualize
Parasoft, ein führender Anbieter automatisierter Softwaretest-Lösungen, kündigt das neueste Release von Parasoft SOAtest und Virtualize mit erweitertem Support für CI (Continuous Integration)-Plattformen an. Als Unterstützung für das Continuous Testing geben neue Plug-Ins für CI den Anwendern jetzt die Möglichkeit, die Ergebnisse automatisch durchgeführter Tests zurück in gängige CI-Plattformen wie Bamboo, Jenkins, Microsoft VSTS und Team ...
Internationale Pferdecoachs und Trainer treffen sich in Ungarn (PR-Gateway, Montag, 18. September 2017)
13. EAHAE Jahreskonferenz vom 6.-8. Oktober mit TeilnehmerInnen aus 14 Ländern
In knapp drei Wochen findet zum dreizehnten Mal die Jahreskonferenz der "EAHAE International Association for Horse Assisted Education" statt. Beginn ist Freitag, der 6. Oktober 2017 um 14:00 Uhr, Ende Sonntag, der 8. Oktober 2017 nach dem Mittagessen.
Veranstaltungsort ist das Hotel Geréby Kúria in Lajosmizse, eine dreiviertel Autostunde südlich ...
Review Compex auf der EclipseCon 2016 - Build Management Vortrag und Demo beim Modeling Symposium (PR-Gateway, Donnerstag, 15. Dezember 2016)
Spannende Vorträge und wertvolle Gespräche auf der diesjährigen europäischen Konferenz der Eclipse Foundation
Bereits zum zweiten Mal war die Compex Systemhaus GmbH beim alljährlichen Treffen der europäischen Eclipse-Community vom 25. bis 27. Oktober 2016 in Ludwigsburg dabei. Diesmal hatten Experten von Compex spannende Themen im Gepäck. Interessenten an den genannten Themen können gern einen Termin für eine Online-Demo vereinbaren oder weitere Informationen dazu zusenden lassen.
| Werbung bei News-Central.de: |
| Jenkins Server von internen Endlosschleifen bedroht |
|
|
Video Tipp @ News-Central.de
|
|
|
Online Werbung
|
|
|
Verwandte Links
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
|
|
