Múltiples vulnerabilidades en Jenkins
Fecha de publicación 07/12/2018
Importancia
5 - Crítica
Recursos Afectados
- Jenkins Weekly versión 2.153 y anteriores.
- Jenkins LTS versión 2.138.3 y anteriores.
Descripción
Jenkins ha publicado 4 vulnerabilidades en varios productos, siendo 1 de severidad crítica y 3 de severidad media.
Solución
- Jenkins Weekly actualizar a la versión 2.154
- Jenkins LTS actualizar a la versión 2.138.4 o a 2.150.1
Detalle
A continuación se detalla únicamente la vulnerabilidad de severidad crítica, que tiene asignado el identificador SECURITY-595.
- Para el manejo de peticiones HTTP, Jenkins utiliza el framework web Stapler el cual emplea el acceso reflexivo a elementos de código que coinciden con sus convenciones de nomenclatura, dado que estas coinciden estrechamente con los patrones de código comunes en Java, el acceso a URLs diseñadas podría invocar métodos que nunca tuvieron la intención de ser invocados de esta manera. Esto podría derivar en que los usuarios:
- No autenticados podrían invalidar todas las sesiones cuando ejecutan Jenkins con el servidor Winstone-Jetty integrado.
- Con permiso Overall/Read podrían crear nuevos objetos de usuario en la memoria.
- Con permiso Overall/Read podrían iniciar manualmente las ejecuciones de implementaciones de AsyncPeriodicWork que de otro modo se ejecutarían periódicamente.
Para las demás vulnerabilidades, Jenkins ha asignado los siguientes identificadores: SECURITY-904, SECURITY-1072 y SECURITY-1193
[Actualización 18/12/2018]: Se han asignado los siguientes identificadores CVE-2018-1000861, CVE-2018-1000863, CVE-2018-1000862 y CVE-2018-1000864 para estas vulnerabilidades.
Listado de referencias
Etiquetas