高手联系方式:Jenkins插件缝隙：明文保存的凭据走漏

Jenkins是一个广泛应用的开源自动化服务器，答应DevOps开发者来高效、可靠地构建、测验和布置软件。为了运用Jenkins模块化的架构，开发者可以经过插件来扩展其间心特征，答应其扩展脚本才能。研究人员计算发现一共有1600个Jenkins插件。其间一些插件保存了未加密的明文凭据。假如发作数据走漏事情，攻击者就可以拜访这些信息。
本年7月11日和8月7日，Jenkins发布了与明文保存凭据相关的一些安全布告。本文将评论该缝隙和受影响的一些插件：

表1. Jenkins插件中的信息走漏缝隙
需求留意的是Port Allocator Testlink Caliper CI插件的缝隙截止现在依然没有批改。当时eggPlant插件在运用时依然是不安全的。
拜访保存的凭据
影响Jenk经过上述的分析，实际上D-Link路由器在认证成功后仅仅记载了成功登录的用户IP地址，随后将是否需求验证登录的Flag文件内容设置为了0。随后我们可以看一下goahead程序关于不同的url央求所运用的Handler，根据不同的url途径goahead进程将运用不同的Handler进行处理。下面可以看到有两个全局Handler,websSecurityHandler和websDefaultHandler。ins插件的缝隙可以被运用来盗取灵敏的用户凭据。一旦有读或拜访master文件体系的凭据走漏，攻击者就可以拜访相关的服务。
插件配备数据一旦保存在坐落 $JENKINS_HOME root中的xml文件的 *** 保存，该文件界说了每个插件的结构和设置。其他情况下，插件的配备上以job配备文件的 *** 保存，比方$JENKINS_HOME/jobs/new-job/config.xml。假如凭据是插件配备的一部分，那么就应该以加密的 *** 保存，但是在Gogs Port Allocator Caliper CI Testlink和eggPlant插件中并不是加密保存的。
凭据以未加密的明文 *** 保存：

 图1. 明文保存的API token
保存凭据的恰当 *** 是在 Credentials插件中授权给第三方凭据提供商，这是在配备文件中的credentialsId 引证的。
假如用户要读取配备文件，只要credentialsId 引证时可查看的。其实凭据是保存在引证中。

 图2. credentialsID 引证
包含在默许主张插件列表中的Credentials插件是用来保存加密的凭据的。下面是凭据保存的概况：

 图3.运用Jenkins凭据引证来保存凭据
插件在 $JENKINS_HOME/credentials.xml中保存加密的凭据。

 图4. 加密的凭据保存示例
在上面的比方中，暗码保存以base64编码的 *** 保存在波形括号中，这是二进制数据编码、保存和转移到一种编码方案。经过运用base64解码器可以看到特定的非打印的字符。
事实上，加密的隐秘和加密元数据都是base64编码的。

用于解密的密钥硬编码在每个Jenkins实例中。不同的Jenkins装置中运用的key不同，key加密保存在$JENKINS_HOME/secrets/hudson.util.Secret 文件中。没有一个单个master key可以翻开一切的实例。
hudson.util.Secret 文件是用来自master key的密钥进行AES加密的，在每个装置中都是不同的。
维护$JENKINS_HOME/secrets 目录免受以外的拜访对防备保存的凭据走漏是非常重要的。履行作业会影响一切的Jenkins安全，比方装置插件、创立作业、读取或提取凭据和其他私有数据。
安全主张
明文保存暗码对企业来说是一个非常大的要挟。但管理员要留意有$JENKINS_HOME/secrets 目录拜访权限的用户都可以拜访保存的凭据。$JENKINS_HOME/hudson.util.Secret 和 $JENKINS_HOME/secrets/master.key 是用来加密保存的暗码的文件，答应解密保存的凭据。
在Jenkins的默许设置中，Jen如下所示，我们可以hook MessageBox，批改传递给原始函数的参数。kins并不会1.1. *** 描述履行安全查看。因而，Jenkins主张用户履行更佳安全实践，包含认证用户、履行拜访操控。假如作业必须在maste