Jenkins mène une enquête de sécurité à la suite d’une perte de données

Le 9 juin, les équipes de Jenkins ont informé les utilisateurs du logiciel d’intégration continue que le chargement d’artifacts

Le 9 juin, les équipes de Jenkins ont informé les utilisateurs du logiciel d’intégration continue que le chargement d’artifacts dans les instances Artifactory était bloqué. Dans un billet, Oleg Nenashev, responsable de la maintenance du projet open source, explique qu’une enquête de sécurité est menée à la suite d’une perte partielle intervenue le 2 juin sur une base de données utilisateurs. Une interruption temporaire des téléchargements dans Artifactory s’est également produite, causant des dommages collatéraux aux autorisations temporaires. Les téléchargements ont par la suite été rétablis, mais les uploads ne l’étaient pas encore au moment de son billet.

L’origine de ces interruptions de service remonte au 2 juin, lorsqu’une panne d’un cluster Kubernetes a nécessité de reconstruire entièrement le dit-cluster pour le remettre en service. Après restauration, trois mois de changements LDAP ont été perdus en raison de la sauvegarde interrompue de la base de données LDAP. L’équipe a alors identifié des risques de sécurité potentiels pouvant résulter de cet incident, tels qu’un chargement malveillant ou une prise de contrôle de compte et fait des recherches en conséquence. Certains utilisateurs des comptes Jenkins perdus dans la manoeuvre ont constaté qu’en recréant un nouveau compte, ils récupéraient les accès et permissions de leur précédent compte détruit, de même que l’extension Jenkins sur la marketplace, ainsi que 42Crunch l’a expliqué à nos confrères de ZDNet.com.

Source : Jenkins mène une enquête de sécurité à la suite d’une perte de données

Veille-cyber

Share
Published by
Veille-cyber

Recent Posts

L’IA : opportunité ou menace ? Les DSI de la finance s’interrogent

L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…

1 mois ago

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le secteur financier

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…

1 mois ago

Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques

La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…

1 mois ago

Telegram menace de quitter la France : le chiffrement de bout en bout en ligne de mire

Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…

1 mois ago

Quand l’IA devient l’alliée des hackers : le phishing entre dans une nouvelle ère

L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…

1 mois ago

LES DIFFÉRENCES ENTRE ISO 27001 ET TISAX®

TISAX® et ISO 27001 sont toutes deux des normes dédiées à la sécurité de l’information. Bien qu’elles aient…

2 mois ago

This website uses cookies.