|
|
|
|
|
|
|
|
|
Deutsche Politik News und Infos: Nachrichten @ Deutsche-Politik-News.de !
 Weitere News: Jenkins Server von internen Endlosschleifen bedroht
Veröffentlicht am Montag, dem 10. Februar 2020 @ 15:43:30 auf Deutsche-Politik-News.de
(433 Leser, 0 Kommentare, 0 Bewertungen, Durchschnittsbewertung: 0,00)
|
|
Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt. Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betreibern von Jenkins Servern selbst, da ein Hacker mit nur einem gespooften UDP-Paket eine Endlosschleife aus Anfragen und Antworten zwischen mehreren Jenkins Servern initiieren kann, die erst beendet wird, wenn auch die jeweiligen Services beendet werden.
"Viele DevOps-Teams verlassen sich auf Jenkins, um ihre Anwendungen zu entwickeln, zu testen und kontinuierlich in Cloud- und Shared Hosting-Umgebungen wie Amazon, OVH, Hetzner, Host Europe, DigitalOcean, Linode und vielen anderen zu implementieren" so Pascal Geenens, Cyber Security Evangelist bei Radware. "Ähnlich wie bei Memcrashed gehen die Leute, die im Rahmen des Open-Source-Projekts Jenkin entwickeln, davon aus, dass diese Server nur intern zur Verfügung stehen werden. In Wirklichkeit funktionieren diese Annahmen jedoch nicht gut, und viele Jenkins-Server sind tatsächlich öffentlich zugänglich."
Reflective DoS
Jenkins unterstützt standardmäßig zwei Netzwerkerkennungsdienste: UDP-Multicast/Broadcast und DNS-Multicast. Die Schwachstelle ermöglicht es Angreifern, Jenkins-Server zu missbrauchen, indem sie UDP-Anforderungen von Port UDP/33848 aus reflektieren, was zu einem verstärkten DDoS-Angriff mit Jenkins-Metadaten führt. Dies ist möglich, weil Jenkins/Hudson-Server den Netzwerkverkehr nicht ordnungsgemäß überwachen und offen gelassen werden, um andere Jenkins/Hudson-Instanzen zu entdecken. Jenkins/Hudson hört jeden Datenverkehr auf dem UDP-Port 33848 ab und reagiert darauf. Ein Angreifer kann entweder lokal ein UDP-Broadcast-Paket an 255.255.255.255.255:33848 senden oder er kann ein UDP-Multicast-Paket an JENKINS_REFLECTOR:33848 einsetzen. Wenn ein Paket empfangen wird, sendet Jenkins oder sein Vorgänger Hudson unabhängig von der Nutzlast eine XML-Antwort mit Metadaten in einem Datagramm an den anfordernden Client. Durch die Erstellung von UDP-Paketen mit der IP eines Opfers als Quelle und der IP eines exponierten Jenkins-Servers und Port udp/33848 als Ziel kann ein böswilliger Akteur eine reflektierende Flut von Paketen zwischen dem Jenkins-Server und dem Opfer erzeugen. Der Verstärkungsfaktor variiert zwischen den Jenkins-Servern, beträgt aber im Durchschnitt 6,44.
Endlosschleife zwischen Jenkins-Servern
Sorgfältig gestaltete UDP-Pakete können auch zwei Jenkins-Server in eine Endlosschleife von Antworten bringen, wodurch ein Denial-of-Service gegen beide Server verursacht wird. Dies ist möglich, weil der Jenkins-Discovery-Service auf jede Anfrage reagiert, unabhängig von deren Inhalt. Ein UDP-Paket, das als Quelle die IP eines exponierten Servers und als Ziel die IP eines anderen exponierten Jenkins-Servers verwendet, wobei sowohl Quelle als auch Ziel auf den Port udp/33848 des Jenkins-Discovery Service gesetzt sind, gehen beide Jenkins-Server in eine unendliche Antwortschleife. Ein böswilliger Akteur wäre laut Radware zudem in der Lage, mehrere unendliche Antwortschleifen zwischen beliebigen exponierten Jenkins-Servern im Internet zu erstellen, wodurch schließlich ein vollständig vermaschter, unendlicher Strom von Paketen zwischen den exponierten Internet-Hosts entsteht.
Wenn der Port udp/33848 im Internet offengelegt wird, wird er zu einer öffentlichen Bedrohung und kann für DrDoS mit Verstärkung missbraucht oder dazu genutzt werden, die Jenkins-Cluster mehrerer Organisationen auszuschalten. Die Schwachstelle wurde in Jenkins 2.219 und LTS 2.204.2 behoben, indem sowohl UDP-Multicast/Broadcast als auch DNS-Multicast standardmäßig deaktiviert wurden.
Radware® (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.
Weitere Informationen finden Sie unter www.radware.com
Radware GmbH
Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen / Frankfurt am Main
+49-6103-70657-0
https://www.radware.com
Pressekontakt:
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
radware@prolog-pr.com
089 800 77-0
https://www.prolog-pr.com/radware
Zitiert aus der Veröffentlichung des Autors >> PR-Gateway << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
|
|
Artikel-Titel: Weitere News: Jenkins Server von internen Endlosschleifen bedroht |
|
Für die Inhalte dieser Veröffentlichung ist nicht Deutsche-Politik-News.de als News-Portal sondern ausschließlich der Autor (PR-Gateway) verantwortlich (siehe AGB). Haftungsausschluss: Deutsche-Politik-News.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| Diese Web-Videos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Österreich: Oligarch Firtasch kann an die USA ausge ...
 | USA/Iran: Präsident Trump droht mit »Auslöschung«
 | Äthiopien: Putschversuch - mehrere Menschen wurden ...
 |
|
|
| Diese Fotos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Gruene-Woche-Berlin-Rundgang-2016-160123- ...
 | 57-Biennale-Venedig-2017-Giardini-Pavillo ...
 | Deutschland-Berliner-Tierpark-2013-130810 ...
 | | |
|
| Diese Testberichte bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
 Rotwein Femar Roma Rosso DOC Der Femar Roma Rosso DOC (0,75L) von Femar Vini Sr, IT-Monte Porzio Catone, Roma, ist einer der besten Rotweine, den man zu seinem Preis bekommt - kaum zu toppen!
(Weitere Testberichte zu Le ... (Peter, 07.4.2024)
REEVA Instant-Nudelgericht RIND GESCHMACK Reeva Instant Nudeln mit BBQ-Rindfleischgeschmack (60g):
In nur 5 Minuten fertig – mit 300 ml heißem Wasser übergießen, 5 Minuten ziehen lassen und umrühren.
Solide kleine Mahlzeit ... (xyz_101, 04.4.2024)
Saperavi 2018 - Rotwein aus Russland Saperavi ist eine dunkle Rebsorte aus dem Alasani-Tal in der Region Kachetien in Ost-Georgien.
Der russische Saperavi 2018 kommt aus Sennoy im Temryuksky District desKrasnodar Kra ... (HildeBL2022, 20.2.2023)
Japanische Nudelsuppe Ramen von OYAKATA (Sojasoße) Hier in der Variante mit dem Geschmack von Sojasoße und einer Gemüsemischung aus Schnittlauch, Mais, Karotten und Lauch.
Mir hat sie nicht zugesagt - ich fand sie geschmacksarm.
( ... (KlausFPM, 20.2.2023)
Wesenitz-Bitter - schmackhafter sächsischer Magenbitter Der Sächsischer Magenbitter Wesenitz-Bitter (33%) ist mild und schmackhaft.
Der Wesenitz-Bitter wird seit 1906 nach einem überlieferten Rezept in Dürrröhrsdorf hergestellt.
Maggi - Magic Asia - Noodle Cup Chikcen Taste with Black Pepper & Chili Maggi - Magic Asia - Noodle Cup Chikcen Taste with Black Pepper & Chili ist ein einfach und schnell zubereiteter Nudel-Snack.
Wenn es mal schnell gehen soll, durchaus schmackhaft ... (Harald, 16.3.2022)
Badesalz AntiStress 1300g - Meersalz mit 100% natürlichem ätherischem Rosmarin- & Wacholderöl
Das Meersalz verbessert die Hautbeschaffenheit und hat auf den Körper eine positive Wirkung, es versorgt ihn mit notwendigen Makro-und Mikroelementen.
Das Badesalz ist reich ... (Bernd-Berlin-13189, 05.5.2021)
Lamm-Hüfte tiefgefroren aus Neuseeland (Metro)
Lamm-Hüfte tiefgefroren aus Neuseeland von der Metro
4 Stück á 175 g Stücke, ohne Fettdeckel, ohne Knochen, aeinzeln vak.-verpackt ca. 700 g
Qualität und Geschmac ... (Petra-38-Berlin, 05.5.2021)
Cerveza Palax – einfach ein gutes Bier
Ein Vorteil der Globalisierung ist, du kannst dir Essen und Trinken aus aller Welt zu dir nach Hause kommen lassen.
Du warst bei deinem letzten Spanienurlaub von eine bestim ... (Udo van der Ahe, 03.5.2021)
Greywacke Sauvignon Blanc Marlborough NZL trocken 0,75l
Ein trockener Weißwein mit kräftiger gelber Farbe aus Neuseeland, würziger Geschmack mit Fruchtaromen.
Er passt sehr gut zu Gerichten mit Meeresfrüchten und zu asiatischen G ... (Heinz-integerBLN, 02.5.2021)
| Diese News bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Thycotic sichert privilegierte Anmeldedaten in Kubernetes durch erweiterte Integration (PR-Gateway, 16.07.2020)
Dank einer neuen Integration mit dem Open-Source-Container-Management-System Kubernetes (K8s) können Kunden des PAM-Spezialisten Thycotic privilegierte Zugangsdaten ab sofort sowohl im Secret Server als auch im DevOps Secrets Vault verwalten. Sie verfügen damit über einen voll ausgestatteten PAM-Tresor, der Sicherheit innerhalb ihrer DevOps-Pipeline über alle Kundennetzwerke hinweg gewährleistet.
Die teilweise sperrigen Prozesse und Workflows von DevOps-Umgebungen begünstigen Sicherheitsl ...
Jenkins Server von internen Endlosschleifen bedroht (PR-Gateway, 10.02.2020)
Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt. Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betrei ...
SonntagsChor Rheinland-Pfalz startet mit neuer CD-Produktion ins neue Jahr (PR-Gateway, 15.01.2019)
Erhältlich ist die CD des SonntagsChores Rheinland-Pfalz sowohl online als auch auch über ausgewählte Buch- und Musikalienhändler des Landes.
Er gehört zu den besten Chören des Landes: der SonntagsChor Rheinland-Pfalz. Ende 2018 startete er die Produktion seiner CD, die nun sowohl online als auch über den ausgewählten Fachhandel in Rheinland-Pfalz erhältlich ist.
"You Raise me Up - der Titel der CD ist auch zugleich ein bisschen Programm beim SonntagsChor Rheinland-Pfalz", freut si ...
Fake News in der Medizin - fatale Folgen für Patienten (PR-Gateway, 14.01.2019)
Spannende Themen aus Medizin und Gesundheitspolitik beim 29. BVASK-Kongress in Düsseldorf
Fake News in der Medizin sind gar nicht so selten. Meist entstehen sie als Fehlschlüsse aus statistischen Analysen. Das hat fatale Folgen - vor allem für die Patienten. Auf dem 29. Kongress des Berufsverbandes für Arthroskopie beleuchtet Mathematikerin Dr. Carolin Jenkner vom Universitätsklinikum Freiburg, Statistiken, Studien und falsche Analysen.
"Wir müssen verhindern, dass falsche Informa ...
Philadelphias Countryside - ein Paradies für Gartenfreunde (PR-Gateway, 30.11.2018)
Die Umgebung von Philadelphia bietet nach einer Stadtbesichtigung die perfekte Gelegenheit für pure Erholung. Brandywine Valley und Valley Forge laden ein zu einer Atempause - in idyllischen Gärten, die zu jeder Jahreszeit ihren besonderen Reiz entfalten, und einer üppig-grünen Landschaft, durchzogen von Flüssen und Bächen, dichten Wäldern und weiten Wiesen.
Weniger als 50 Kilometer von der City of Brotherly Love entfernt befindet sich ein malerisches Fleckchen Erde, das unter anderem mi ...
Der unabhängige Anbieter von Lösungen für Smart Digital Transformation feiert 25-jähriges Bestehen (PR-Gateway, 13.09.2018)
ATS Gesellschaft für angewandte technische Systeme mbH aus Kassel
Die ATS Gesellschaft für angewandte technische Systeme hat einen weiteren Meilenstein erreicht und feiert ihr 25-jähriges Bestehen. Im Laufe der langjährigen Geschäftstätigkeit hat ATS ein bewährtes Portfolio an Lösungen für Automatisierung, Qualitätsmanagement und industrielle IT aufgebaut. Aus einem kleinen Standort mit 15 Mitarbeitern sind mittlerweile 3 Standorte (Kassel, Korbach, Neustadt an der Weinstraße) mit insgesa ...
Musik für chronisch kranke Kinder (PR-Gateway, 07.05.2018)
Benefizkonzert zugunsten der Haunerschen Kinderklinik München
Am 16. Mai 2018 findet in der Münchner Herz Jesu Kirche ein von Rotary München 100 initiiertes Konzert des Bundespolizeiorchester begleitet von Orgel und Sopran statt. Der Erlös geht an Projekte für chronisch kranke Kinder und deren Familien an der Haunerschen Kinderklinik in München.
Das Konzert: Das Bundespolizeiorchester, ein Ensemble aus 45 Berufsmusikern ist ein sinfonisches ...
Programmatic Buying in der Praxis: Tradelab veröffentlicht Case Study zum Oscar-Film \'\'Moonlight\'\' (PR-Gateway, 24.01.2018)
Es war eines der Kino-Highlights im vergangenen Jahr: Das von Regisseur Barry Jenkins mit dem Oscar "Bester Film" ausgezeichnete Drama "Moonlight". Der gefühlvolle Film handelt von der Identitätsfindung eines jungen Afroamerikaners und war weltweit ein Kinohit. Um die Aufmerksamkeit des Films auch in Deutschland zu erhöhen, beauftragte der Berliner Filmproduzent- und Filmverleih DCM Film Distribution die P ...
Internationale Pferdecoachs und Trainer treffen sich in Ungarn (PR-Gateway, 18.09.2017)
13. EAHAE Jahreskonferenz vom 6.-8. Oktober mit TeilnehmerInnen aus 14 Ländern
In knapp drei Wochen findet zum dreizehnten Mal die Jahreskonferenz der "EAHAE International Association for Horse Assisted Education" statt. Beginn ist Freitag, der 6. Oktober 2017 um 14:00 Uhr, Ende Sonntag, der 8. Oktober 2017 nach dem Mittagessen.
Veranstaltungsort ist das Hotel Geréby Kúria in Lajosmizse, eine dreiviertel Autostunde südlich ...
NAXOS MUSIC GROUP expandiert mit den legendären Katalogen von VOX und PROJECT 3 (PR-Gateway, 06.04.2017)
NAXOS freut sich, den legendären Vox-Katalog in seinem expandierenden Label-Portfolio begrüßen zu dürfen. Bereits 1945 von George Mendelssohn (einem Nachkommen des Komponisten Felix Mendelssohn Bartholdy) gegründet, veröffentlichte Vox die ersten Schallplatten-Aufnahmen klassischer Meisterwerke, darunter Bachs Matthäuspassion und Schuberts Klaviersonaten. Heute ist der Vox-Katalog auf mehr als 1000 Titel angewachsen, die nun zur NAXOS Music Group gehören.
Vox" Riege etablierter Künstler b ...
| Werbung bei Deutsche-Politik-News.de: |
| Jenkins Server von internen Endlosschleifen bedroht |
|
|
Möglichkeiten
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Deutsche-Politik-News.de Spende
|
|
|
Online Werbung
|
|
|
Online Werbung
|
|
|
D-P-N News Empfehlungen
|
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
Online Werbung
|
|
|
|
Bundestag
