Múltiples vulnerabilidades en Jenkins
Fecha de publicación 30/01/2020
Importancia
4 - Alta
Recursos Afectados
- Jenkins LTS, versión 2.204.1 y anteriores;
- Jenkins weekly, versión 2.218 y anteriores.
Descripción
Jenkins ha detectado 7 vulnerabilidades, una de criticidad baja, cinco medias y una alta, que afectan a su core. Un atacante remoto, sin autenticación, podría comprometer el cifrado de las comunicaciones, generar una condición de denegación de servicio en el sistema u obtener información del mismo.
Solución
- Jenkins LTS, actualizar a la versión 2.204.2;
- Jenkins weekly, actualizar a la versión 2.219.
Detalle
- La vulnerabilidad de criticidad alta se debe a una incorrecta reutilización de los parámetros de cifrado en el protocolo. Un atacante remoto, sin autenticar, podría comprometer el cifrado de las comunicaciones y conectarse desde los agentes Jenkins comprometidos al Jenkins maestro. Se ha asignado el identificador CVE-2020-2099 para esta vulnerabilidad.
- A las vulnerabilidades de criticidad media se las han reservado los identificadores: CVE-2020-2100, CVE-2020-2101, CVE-2020-2102, CVE-2020-2103, CVE-2020-2104.
- A la vulnerabilidad de criticidad baja se le ha asignado el identificador CVE-2020-2105.
Listado de referencias
Etiquetas