2019년 6월 1주차 - "젠킨스 플러그인 100개에서 비밀번호 평문 저장 취약점 나와" 등

1. 젠킨스 플러그인 100개에서 비밀번호 평문 저장 취약점 나와

 

빌드와 테스트, 배포를 위한 자동화 서버로 널리 이용되는 젠킨스는 오픈소스로서 많은 플러그인을 제공하고 있습니다. 그런데 최근 이들 플러그인 100개 이상에서 비밀번호 평문 저장 및 CSRF(Cross-site request forgery, 사이트 간 요청 위조) 취약점이 발견되었습니다. 젠킨스는 비밀번호를 credential.xml 파일에 암호화해서 저장하는데, 일부 개발자들이 이를 어기고 플러그인 자체 xml 파일을 생성하여 저장하거나, 비밀번호 암호화 과정을 생략하는 오류를 범해 이러한 취약점들이 나타나는 것으로 밝혀졌습니다. 

일부 플러그인들은 이러한 취약점에 대해 패치가 진행되었으나, 대부분의 플러그인들이 패치되지 않은 상태이기 때문에 젠킨스 이용자들의 주의가 필요합니다. 패치되지 않은 플러그인의 경우 당분간 사용하지 않는 것을 권고하며, 더 자세한 보안 권고 사항은 Security Advisories에서 확인하실 수 있습니다. 

 

---

2. 둘로 나뉜 웹 표준, 하나로 합쳐진다

 

W3C(World Wide Web Consortium)와 WHATWG(Web Hypertext Application Technology Working Group)는 지난 2018년 4월부터 각자 별도로 HTML 및 DOM 표준을 만들어왔습니다. 그런데 지난 5월 28일 두 단체가 단일 버전의 표준을 함께 개발하기로 합의했습니다. W3C의 발표에 따르면 함께 발전시키기로 합의했다고 하나, 사실상 W3C가 WHATWG와의 주도권 싸움에서 패했다는 것이 업계의 평가입니다. 그 이유는 이미 W3C의 표준화가 HTML5 전후로 WHATWG에 의존해 오고 있었다는 점, 향후 W3C 웹사이트에서 제공하던 모든 표준과 초안 문서가 WHATWG 웹사이트의 HTML과 DOM 규격 문서를 가리키게 된다는 점 때문입니다.

웹 표준은 웹 개발에 있어서도 중요한 부분이기 때문에 앞으로 어떻게 변화될지 지켜볼 필요가 있어 보입니다.  W3C와 WHATWG의 협업 계획과 절차적 방법은 MOU(Memorandum of Understanding Between W3C and WHATWG)에서 자세한 내용을 확인하실 수 있으며, HTML 및 DOM 규격 제정 방향, 발행될 표준 문서의 서식이나 오류 관리, 기존 W3C 문서의 URL 전환 계획 등에 대한 내용도 MOU 발표문에 포함되어 있습니다.