Jenkins mène une enquête de sécurité à la suite d’une perte de données

Le 9 juin, les équipes de Jenkins ont informé les utilisateurs du logiciel d’intégration continue que le chargement d’artifacts

Le 9 juin, les équipes de Jenkins ont informé les utilisateurs du logiciel d’intégration continue que le chargement d’artifacts dans les instances Artifactory était bloqué. Dans un billet, Oleg Nenashev, responsable de la maintenance du projet open source, explique qu’une enquête de sécurité est menée à la suite d’une perte partielle intervenue le 2 juin sur une base de données utilisateurs. Une interruption temporaire des téléchargements dans Artifactory s’est également produite, causant des dommages collatéraux aux autorisations temporaires. Les téléchargements ont par la suite été rétablis, mais les uploads ne l’étaient pas encore au moment de son billet.

L’origine de ces interruptions de service remonte au 2 juin, lorsqu’une panne d’un cluster Kubernetes a nécessité de reconstruire entièrement le dit-cluster pour le remettre en service. Après restauration, trois mois de changements LDAP ont été perdus en raison de la sauvegarde interrompue de la base de données LDAP. L’équipe a alors identifié des risques de sécurité potentiels pouvant résulter de cet incident, tels qu’un chargement malveillant ou une prise de contrôle de compte et fait des recherches en conséquence. Certains utilisateurs des comptes Jenkins perdus dans la manoeuvre ont constaté qu’en recréant un nouveau compte, ils récupéraient les accès et permissions de leur précédent compte détruit, de même que l’extension Jenkins sur la marketplace, ainsi que 42Crunch l’a expliqué à nos confrères de ZDNet.com.

Source : Jenkins mène une enquête de sécurité à la suite d’une perte de données