Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/03/26

Garrantzia: Altua

Kaltetutako baliabideak: 

• Jenkins LTS, 2.204.5 eta lehenagoko bertsioak;
• Jenkins weekly, 2.227 eta lehenagoko bertsioak.

Azalpena:

Jenkins-ek bere core-ari eragiten dioten 4 ahultasun aurkitu ditu, bat kritikotasun altukoa eta hiru ertainekoak. Horiek baliatuz CSRF (Cross-Site Request Forgery) eta XSS (Cross-Site Scripting) iraunkor erako erasoak egin litezke.

Konponbidea: 

• Jenkins LTS, 2.204.6 edo 2.222.1 bertsiora eguneratzea;
• Jenkins weekly, 2.228 bertsiora eguneratzea.

Xehetasuna: 

• Jenkins-eko luzapen puntu batek URL zehatzetarako CSRF erako erasoen aurkako babesa modu selektiboan desgaitzea ahalbidetzen du, izan ere, Stapler web aplikazioetarako framework-ak bidalketa eskaera egiteko erabiltzen duen URLaren bidearen errepresentazio ezberdina jasotzen baitu. Ahultasun horretarako CVE-2020-2160 identifikatzailea erabili da.
• Larritasun ertaineko ahultasunetarako honako identifikatzaileak erabili dira: CVE-2020-2161, CVE-2020-2162 eta CVE-2020-2163.

Etiketak: Eguneraketa, Ahultasuna