Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Kritik Jenkins Güvenlik Açığı, Sunucuları RCE Saldırılarına Maruz Bırakıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Kritik Jenkins Güvenlik Açığı, Sunucuları RCE Saldırılarına Maruz Bırakıyor

GenelSiber Güvenlik

Kritik Jenkins Güvenlik Açığı, Sunucuları RCE Saldırılarına Maruz Bırakıyor

teknomers
Son güncelleme: 26 Ocak 2024 01:04
teknomers
Paylaş
Paylaş


25 Ocak 2024Haber odasıGüvenlik Açığı / Yazılım Güvenliği

Açık kaynaklı sürekli entegrasyon/sürekli dağıtım ve dağıtım (CI/CD) otomasyon yazılımı Jenkins’in geliştiricileri, başarılı bir şekilde kullanılması halinde uzaktan kod yürütülmesine (RCE) yol açabilecek kritik bir hatanın da aralarında bulunduğu dokuz güvenlik açığını çözdü.

CVE tanımlayıcısının atandığı sorun CVE-2024-23897yerleşik komut satırı arayüzü aracılığıyla rastgele bir dosya okuma güvenlik açığı olarak tanımlandı (CLI)

Bakımcılar, “Jenkins, CLI komutlarını işlerken Jenkins denetleyicisindeki komut bağımsız değişkenlerini ve seçeneklerini ayrıştırmak için args4j kitaplığını kullanıyor.” söz konusu Çarşamba tavsiyesinde.

“Bu komut ayrıştırıcısı, dosya içeriğiyle (expandAtFiles) bir bağımsız değişkende @ karakterini ve ardından bir dosya yolunu değiştiren bir özelliğe sahiptir. Bu özellik varsayılan olarak etkindir ve Jenkins 2.441 ve öncesi, LTS 2.426.2 ve öncesi onu devre dışı bırakmaz. “

Bir tehdit aktörü, Jenkins denetleyici işleminin varsayılan karakter kodlamasını kullanarak Jenkins denetleyici dosya sistemindeki rastgele dosyaları okumak için bu tuhaflıktan yararlanabilir.

“Genel/Okuma” iznine sahip saldırganlar dosyaların tamamını okuyabilirken, bu izni olmayanlar CLI komutlarına bağlı olarak dosyaların ilk üç satırını okuyabilir.

Ek olarak, bu eksiklik, belirli kısıtlamalara rağmen, kriptografik anahtarlar içeren ikili dosyaların okunması için silah haline getirilebilir. Jenkins, ikili sırların çıkarılması durumunda bunun çeşitli saldırılara kapı açabileceğini söylüyor:

  • Kaynak Kök URL’leri aracılığıyla uzaktan kod yürütme
  • “Beni hatırla” çerezi aracılığıyla uzaktan kod yürütme
  • Derleme günlükleri aracılığıyla depolanan siteler arası komut dosyası çalıştırma (XSS) saldırıları yoluyla uzaktan kod yürütme
  • CSRF koruma bypass’ı aracılığıyla uzaktan kod yürütme
  • Jenkins’te saklanan sırların şifresini çözün
  • Jenkins’teki herhangi bir öğeyi silin
  • Java yığın dökümü indirme

Jenkins, “İkili veri içeren dosyalar okunabilirken, etkilenen özellik, denetleyici işleminin varsayılan karakter kodlamasını kullanarak bunları dizeler olarak okumaya çalışır” dedi.

“Bu muhtemelen bazı baytların başarıyla okunamamasına ve yer tutucu değerle değiştirilmesine neden olabilir. Hangi baytların okunup okunamayacağı bu karakter kodlamasına bağlıdır.”

Güvenlik araştırmacısı Yaniv Nizry, Jenkins 2.442 ve LTS 2.426.3’te komut ayrıştırıcı özelliği devre dışı bırakılarak düzeltilen kusuru keşfetme ve raporlama konusunda itibar kazandı.

Düzeltme eki uygulanıncaya kadar kısa vadeli bir geçici çözüm olarak CLI’ye erişimin kapatılması önerilir.

Bu gelişme, Jenkins’in CorePlague (CVE-2023-27898 ve CVE-2023-27905) olarak adlandırılan ve hedeflenen sistemlerde kod yürütülmesine yol açabilecek bir çift ciddi güvenlik açığını ele almasından neredeyse bir yıl sonra gerçekleşti.



siber-2

ABD’li öğrenci, on milyonlarca öğrenciyi etkileyen hackle suçluluk kabul etti.
Yalnızca 110$, ancak oldukça parlak bir ekran ve 6/128 GB bellek. Ucuz akıllı telefon Xiaomi Poco C75 sunuldu
PS5 ve PC için bu en iyi Samsung SSD’lerde 100 $’a kadar tasarruf edin
WoW’un Eternity’s End güncellemesinin çıkış tarihi belli oldu
Uluslararası Uzay İstasyonu Sıkça Sorulan Sorular
ETİKETLENDİ:Açığıağ güvenliğibilgi Güvenliğibilgisayar GüvenliğiBırakıyorfidye yazılımı kötü amaçlı yazılımgüvenlikhack haberlerihacker haberleriJenkinsKritikmaruzNasıl heklenirRCESaldırılarınasiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarSunucularıveri ihlaliyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Chelsea – Aston Villa canlı akışı: FA Cup dördüncü turu çevrimiçi ve TV’de nasıl izlenir
Sonraki Makale Taylor Swift AI Pornosu Hayranları Balistik Yapıyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Chegg Kupon Kodları Temmuz 2026: Eğitim ve Kitaplarda Tasarruf Yapın!
Genel
Beyzbolun En İyi Atıcısından Şaşırtıcı Charizard Hamlesi
Oyun
Wayfair Kuponları: Temmuz 2026’da %80’e Varan İndirim Fırsatları!
Genel
Oturum Durumlarını Ölçeklendirme: Redis İçin Dosya Sürücülerinden Vazgeçin
Yazılım
Google ve Epic Savaşmaktan Vazgeçti – Üçüncü Parti Android Uygulama Mağazaları Geliyor
Liste
2026’nın En Büyük Filminin Yıldızı Call Of Duty: MW4 Hakkında Konuşacak
Oyun
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?