Argitalpen data: 2020/03/26
Garrantzia: Altua
Kaltetutako baliabideak:
- Jenkins LTS, 2.204.5 eta lehenagoko bertsioak;
- Jenkins weekly, 2.227 eta lehenagoko bertsioak.
Azalpena:
Jenkins-ek bere core-ari eragiten dioten 4 ahultasun aurkitu ditu, bat kritikotasun altukoa eta hiru ertainekoak. Horiek baliatuz CSRF (Cross-Site Request Forgery) eta XSS (Cross-Site Scripting) iraunkor erako erasoak egin litezke.
Konponbidea:
- Jenkins LTS, 2.204.6 edo 2.222.1 bertsiora eguneratzea;
- Jenkins weekly, 2.228 bertsiora eguneratzea.
Xehetasuna:
- Jenkins-eko luzapen puntu batek URL zehatzetarako CSRF erako erasoen aurkako babesa modu selektiboan desgaitzea ahalbidetzen du, izan ere, Stapler web aplikazioetarako framework-ak bidalketa eskaera egiteko erabiltzen duen URLaren bidearen errepresentazio ezberdina jasotzen baitu. Ahultasun horretarako CVE-2020-2160 identifikatzailea erabili da.
- Larritasun ertaineko ahultasunetarako honako identifikatzaileak erabili dira: CVE-2020-2161, CVE-2020-2162 eta CVE-2020-2163.
Etiketak: Eguneraketa, Ahultasuna