Le 9 juin, les équipes de Jenkins ont informé les utilisateurs du logiciel d’intégration continue que le chargement d’artifacts dans les instances Artifactory était bloqué. Dans un billet, Oleg Nenashev, responsable de la maintenance du projet open source, explique qu’une enquête de sécurité est menée à la suite d’une perte partielle intervenue le 2 juin sur une base de données utilisateurs. Une interruption temporaire des téléchargements dans Artifactory s'est également produite, causant des dommages collatéraux aux autorisations temporaires. Les téléchargements ont par la suite été rétablis, mais les uploads ne l’étaient pas encore au moment de son billet.
L’origine de ces interruptions de service remonte au 2 juin, lorsqu’une panne d’un cluster Kubernetes a nécessité de reconstruire entièrement le dit-cluster pour le remettre en service. Après restauration, trois mois de changements LDAP ont été perdus en raison de la sauvegarde interrompue de la base de données LDAP. L’équipe a alors identifié des risques de sécurité potentiels pouvant résulter de cet incident, tels qu’un chargement malveillant ou une prise de contrôle de compte et fait des recherches en conséquence. Certains utilisateurs des comptes Jenkins perdus dans la manoeuvre ont constaté qu’en recréant un nouveau compte, ils récupéraient les accès et permissions de leur précédent compte détruit, de même que l’extension Jenkins sur la marketplace, ainsi que 42Crunch l'a expliqué à nos confrères de ZDNet.com. Ce qui impliquait que d’autres personnes pouvaient enregistrer un compte avec le nom d’un utilisateur pour charger un artefact douteux.
A la suite d’un échange public sur ces risques avec le mainteneur d’un plugin, l’équipe de Jenkins a décidé de bloquer le chargement des artifacts des releases, indique Oleg Nenashev dans son post du 9 juin. Il confirme par ailleurs que tous les artifacts chargés dans les instances d’Artifactory entre le 2 juin et le blocage des releases ont été examinés, sans trouver aucun élément malveillant.
Commentaire