เมื่อต้นปีที่ผ่านมา Jenkins โครงการซอฟต์แวร์ CI/CD แบบโอเพนซอร์สปล่อยแพตช์ช่องโหว่ความปลอดภัยออกมา และตอนนี้ก็เริ่มมีรายงานรวมถึงตัวอย่างโค้ดสำหรับโจมตีออกมาแล้ว ทำให้ผู้ที่ใช้ Jenkins โดยเฉพาะผู้ที่เปิดเซิร์ฟเวอร์ออกสู่อินเทอร์เน็ตควรเร่งแพตช์โดยเร็ว

ช่องโหว่นี้เกิดจากการใช้ไลบรารี args4j ซึ่งมีฟีเจอร์สามารถใช้เครื่องหมาย @ เพื่ออ้างอิงไฟล์อื่นๆ ได้ ในกรณีนี้ทางโครงการ Jenkins ไม่ได้ตระหนักว่ามีฟีเจอร์นี้และไม่ได้ปิดไว้ ทำให้คนร้ายสามารถส่งโค้ดเข้ามารันในเครื่องได้ ผ่านทางช่องทางต่างๆ เช่น Remote Root URLs หรือ Cookie

ผู้ใช้สามารถอัพเดตเป็น Jenkins 2.442 หรือ 2.426.3 LTS เพื่อแก้ช่องโหว่นี้ หรือหากยังไม่พร้อมสามารถลดความเสี่ยงด้วยการปิดฟีเจอร์ CLI และ SSH ไว้ก่อนได้

ที่มา - Bleeping Computer, Jenkins