Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 29/08/2019

Importancia: Alta

Recursos afectados:

  • Jenkins weekly, versiones 2.191 y anteriores;
  • Jenkins LTS, versiones 2.176.2 y anteriores.

Descripción:

Jenkins ha publicado 2 vulnerabilidades, una de severidad alta y otra media. La explotación de alguna de estas vulnerabilidades podría permitir a un atacante implementar ataques CSRF o realizar ataques del tipo cross-site scripting almacenado.

Solución:

Aplicar las siguientes actualizaciones:

  • Jenkins weekly, versión 2.192;
  • Jenkins LTS, versión 2.176.3.

Detalle:

  • La posibilidad de crear tokens CSRF sin el correspondiente ID de sesión web, podría permitía a los atacantes obtener un token CSRF sin el ID de sesión asociado para implementar ataques CSRF, siempre y cuando el token fuera creado para el usuario anónimo (y solo podría ser usado para acciones que el usuario anónimo pudiera realizar), la dirección IP de la víctima permaneciera inalterada (a menos que la opción de compatibilidad de proxy estuviera activada) y esta no tuviera una sesión web válida en el momento del ataque. Se ha asignado el identificador CVE-2019-10384 para esta vulnerabilidad.
  • La incorrecta comprobación de la URL del sitio de actualización presente en algunos mensajes de estado, mostrados en el centro de actualización, resultó en una vulnerabilidad de tipo cross-site scripting almacenado, que podría ser explotable por los administradores, afectando a otros administradores. Se ha asignado el identificador CVE-2019-10383 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad