Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Jenkins

Fecha de publicación 30/01/2020
Importancia
4 - Alta
Recursos Afectados
  • Jenkins LTS, versión 2.204.1 y anteriores;
  • Jenkins weekly, versión 2.218 y anteriores.
Descripción

Jenkins ha detectado 7 vulnerabilidades, una de criticidad baja, cinco medias y una alta, que afectan a su core. Un atacante remoto, sin autenticación, podría comprometer el cifrado de las comunicaciones, generar una condición de denegación de servicio en el sistema u obtener información del mismo.

Solución
  • Jenkins LTS, actualizar a la versión 2.204.2;
  • Jenkins weekly, actualizar a la versión 2.219.
Detalle
  • La vulnerabilidad de criticidad alta se debe a una incorrecta reutilización de los parámetros de cifrado en el protocolo. Un atacante remoto, sin autenticar, podría comprometer el cifrado de las comunicaciones y conectarse desde los agentes Jenkins comprometidos al Jenkins maestro. Se ha asignado el identificador CVE-2020-2099 para esta vulnerabilidad.
  • A las vulnerabilidades de criticidad media se las han reservado los identificadores: CVE-2020-2100, CVE-2020-2101, CVE-2020-2102, CVE-2020-2103, CVE-2020-2104.
  • A la vulnerabilidad de criticidad baja se le ha asignado el identificador CVE-2020-2105.

Encuesta valoración

Listado de referencias
Jenkins Security Advisory 2020-01-29
Etiquetas