Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/08/18

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• Jenkins 2.251 bertsiora arte, hori barne.
• Jenkins LTS 2.235.4 bertsiora arte, hori barne.

Azalpena: 

Hainbat ikertzailek eman dute Jenkins sistemaren core elementuari eragiten dioten ahultasun batzuen berri. Zehazki, bat larritasun kritikokoa da, eta 3 larritasun altukoak. Motak: bufferraren ustelkeria eta biltegiratutako Cross-Site Scripting (XSS), hurrenez hurren.

Konponbidea: 

Honako ahultasunak konpontzeko bertsio hauek instalatzea gomendatzen da:

• Jenkins, 2.252 bertsioa.
• Jenkins LTS, 2.235.5 bertsioa.

Xehetasuna: 

• Jenkins softwareak Winstone-Jetty dauka barne, Jetty wrapper bat, http eta servlet moduan jarduteko. Horrek ahultasun bat dauka, eta, horren ondorioz, baimendu gabeko erasotzaileek HTTP erantzun goiburuak lor litzakete, beste erabiltzaile bati bideratutako datu konfidentzialekin. Ahultasun horretarako, CVE-2019-17638 identifikatzailea esleitu da.
• Jenkinsek ez ditu ondo sanitizatzen laguntza ikonoen tresnen gaineko informazio edukia, artikuluaren sorkuntzan erakusten den proiektuaren izenaren estrategiaren deskribapena, ezta Trigger builds remotely sistemaren bidez konpilazioa hasten duen host-aren urrutiko helbidea ere. Horren ondorioz, XSS motako ahultasunak sortu litezke. Ahultasun horietarako CVE-2020-2229, CVE-2020-2230 eta CVE-2020-2231 identifikatzaileak esleitu dira.

Era berean, Jenkins etxeak jakinarazi du beste osagarri batzuetan ere ahultasunak badaudela.

Etiketak: Eguneratzea, Ahultasuna