Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 07/12/2018

Importancia: Crítica

Recursos afectados:

• Jenkins Weekly versión 2.153 y anteriores.
• Jenkins LTS versión 2.138.3 y anteriores.

Descripción:

Jenkins ha publicado 4 vulnerabilidades en varios productos, siendo 1 de severidad crítica y 3 de severidad media.

Solución:

• Jenkins Weekly actualizar a la versión 2.154
• Jenkins LTS actualizar a la versión 2.138.4 o a 2.150.1

Detalle:

A continuación se detalla únicamente la vulnerabilidad de severidad crítica, que tiene asignado el identificador SECURITY-595.

• Para el manejo de peticiones HTTP, Jenkins utiliza el framework web Stapler el cual emplea el acceso reflexivo a elementos de código que coinciden con sus convenciones de nomenclatura, dado que estas coinciden estrechamente con los patrones de código comunes en Java, el acceso a URLs diseñadas podría invocar métodos que nunca tuvieron la intención de ser invocados de esta manera. Esto podría derivar en que los usuarios:
  • No autenticados podrían invalidar todas las sesiones cuando ejecutan Jenkins con el servidor Winstone-Jetty integrado.
  • Con permiso Overall/Read podrían crear nuevos objetos de usuario en la memoria.
  • Con permiso Overall/Read podrían iniciar manualmente las ejecuciones de implementaciones de AsyncPeriodicWork que de otro modo se ejecutarían periódicamente.

Para las demás vulnerabilidades, Jenkins ha asignado los siguientes identificadores: SECURITY-904, SECURITY-1072 y SECURITY-1193

Etiquetas: Actualización, Vulnerabilidad