Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Jenkins sistemaren core elementuari eragiten dioten ahultasunak

Argitalpen data: 2020/08/18

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • Jenkins 2.251 bertsiora arte, hori barne.
  • Jenkins LTS 2.235.4 bertsiora arte, hori barne.

Azalpena: 

Hainbat ikertzailek eman dute Jenkins sistemaren core elementuari eragiten dioten ahultasun batzuen berri. Zehazki, bat larritasun kritikokoa da, eta 3 larritasun altukoak. Motak: bufferraren ustelkeria eta biltegiratutako Cross-Site Scripting (XSS), hurrenez hurren.

Konponbidea: 

Honako ahultasunak konpontzeko bertsio hauek instalatzea gomendatzen da:

  • Jenkins, 2.252 bertsioa.
  • Jenkins LTS, 2.235.5 bertsioa.

Xehetasuna: 

  • Jenkins softwareak Winstone-Jetty dauka barne, Jetty wrapper bat, http eta servlet moduan jarduteko. Horrek ahultasun bat dauka, eta, horren ondorioz, baimendu gabeko erasotzaileek HTTP erantzun goiburuak lor litzakete, beste erabiltzaile bati bideratutako datu konfidentzialekin. Ahultasun horretarako, CVE-2019-17638 identifikatzailea esleitu da.
  • Jenkinsek ez ditu ondo sanitizatzen laguntza ikonoen tresnen gaineko informazio edukia, artikuluaren sorkuntzan erakusten den proiektuaren izenaren estrategiaren deskribapena, ezta Trigger builds remotely sistemaren bidez konpilazioa hasten duen host-aren urrutiko helbidea ere. Horren ondorioz, XSS motako ahultasunak sortu litezke. Ahultasun horietarako CVE-2020-2229, CVE-2020-2230 eta CVE-2020-2231 identifikatzaileak esleitu dira.

Era berean, Jenkins etxeak jakinarazi du beste osagarri batzuetan ere ahultasunak badaudela.

Etiketak: Eguneratzea, Ahultasuna