Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Jenkins-en

Argitalpen data: 2019/01/29

Garrantzia: Handia

Kaltetutako baliabideak:

  • Active Directory Plugin, 2.10 bertsioa eta lehenagokoak.
  • Blue Ocean Plugin, 1.10.1 bertsioa eta lehenagokoak.
  • Config File Provider Plugin, 3.4.1 eta lehenagoko bertsioak.
  • Git Plugin, 3.9.1 eta lehenagoko bertsioak.
  • GitHub Authentication Plugin, 0.29 eta lehenagoko bertsioak.
  • Groovy Plugin, 2.0 eta lehenagoko bertsioak.
  • Job Import Plugin, 2.1 eta lehenagoko bertsioak.
  • Job Import Plugin, 3.0 eta lehenagoko bertsioak.
  • Kanboard Plugin, 1.5.10 eta lehenagoko bertsioak.
  • Monitoring Plugin, 1.74.0 eta lehenagoko bertsioak.
  • OpenId Connect Authentication Plugin, 1.4 eta lehenagoko bertsioak.
  • Script Security Plugin, 1.50 bertsioa eta lehenagokoak.
  • Token Macro Plugin, 2.5 eta lehenagoko bertsioak.
  • Warnings Plugin, 5.0.0 eta lehenagoko bertsioak.
  • Warnings Next Generation Plugin, 2.1.1 eta lehenagoko bertsioak.
  • Warnings Next Generation Plugin, 1.0.1 eta lehenagoko bertsioak.

Azalpena:

Jenkinsek bere hainbat produkturi eragiten dieten 20 ahultasun argitaratu ditu, horietatik 6 larritasun altukoak eta gainerakoak larritasun ertain edo baxukoak.

Konponbidea:

  • Active Directory Plugin, 2.11 bertsiora eguneratzea
  • Blue Ocean Plugin, 1.10.2 bertsiora eguneratzea
  • Config File Provider Plugin, 3.5 bertsiora eguneratzea
  • Git Plugin, 3.9.2 bertsiora eguneratzea
  • GitHub Authentication Plugin, 0.31 bertsiora eguneratzea
  • Groovy Plugin, 2.1 bertsiora eguneratzea
  • Job Import Plugin, 3.0 bertsiora eguneratzea
  • Job Import Plugin, 3.1 bertsiora eguneratzea
  • Kanboard Plugin, 1.5.11 bertsiora eguneratzea
  • Monitoring Plugin, 1.75.0 bertsiora eguneratzea
  • OpenId Connect Authentication Plugin, 1.5 bertsiora eguneratzea
  • Script Security Plugin, 1.51 bertsiora eguneratzea
  • Token Macro Plugin, 2.6 bertsiora eguneratzea
  • Warnings Plugin, 5.0.1 bertsiora eguneratzea
  • Warnings Next Generation Plugin, 2.1.2 bertsiora eguneratzea
  • Warnings Next Generation Plugin, 2.0.0 bertsiora eguneratzea

Xehetasuna:

Larritasun altuko ahultasunak honakoak dira:

  • Ziurtagirien baliozkotze okerra StartTLSekin Active Directory Plugin-en, SECURITY-859 identifikatzailea esleitu da.
  • XML External Entity (XXE), SECURITY-905 (1) identifikatzailea esleitu da.
  • Script Security Plugin-en Sandbox Bypass , SECURITY-1292 identifikatzailea esleitu da.
  • Groovy Plugin-en Sandbox Bypass , SECURITY-1293 identifikatzailea esleitu da.
  • Warnings Plugin-en CSRF bitartezko Sandbox Bypass , SECURITY-1295 (1) identifikatzailea esleitu da.
  • Warnings Plugin Next Generation Plugin-en CSRF bitartezko Sandbox Bypass , SECURITY-1295 (2) identifikatzailea esleitu da.

Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: SECURITY-602, SECURITY-797, SECURITY-818, SECURITY-886, SECURITY-905 (2), SECURITY-1095, SECURITY-1102, SECURITY-1153, SECURITY-1154, SECURITY-1201, SECURITY-1204, SECURITY-1253, SECURITY-1271 eta SECURITY-1302.

Etiketak: Eguneraketa, Ahultasuna