Fecha de publicación: 07/12/2018
Importancia:
Crítica
Recursos afectados:
- Jenkins Weekly versión 2.153 y anteriores.
- Jenkins LTS versión 2.138.3 y anteriores.
Descripción:
Jenkins ha publicado 4 vulnerabilidades en varios productos, siendo 1 de severidad crítica y 3 de severidad media.
Solución:
Detalle:
A continuación se detalla únicamente la vulnerabilidad de severidad crítica, que tiene asignado el identificador SECURITY-595.
- Para el manejo de peticiones HTTP, Jenkins utiliza el framework web Stapler el cual emplea el acceso reflexivo a elementos de código que coinciden con sus convenciones de nomenclatura, dado que estas coinciden estrechamente con los patrones de código comunes en Java, el acceso a URLs diseñadas podría invocar métodos que nunca tuvieron la intención de ser invocados de esta manera. Esto podría derivar en que los usuarios:
- No autenticados podrían invalidar todas las sesiones cuando ejecutan Jenkins con el servidor Winstone-Jetty integrado.
- Con permiso Overall/Read podrían crear nuevos objetos de usuario en la memoria.
- Con permiso Overall/Read podrían iniciar manualmente las ejecuciones de implementaciones de AsyncPeriodicWork que de otro modo se ejecutarían periódicamente.
Para las demás vulnerabilidades, Jenkins ha asignado los siguientes identificadores: SECURITY-904, SECURITY-1072 y SECURITY-1193
Etiquetas:
Actualización, Vulnerabilidad