Condición de carrera en Jenkins
Fecha de publicación:
14/12/2017
Importancia:
4 -
Alta
Recursos afectados:
- Jenkins 2.81 hasta 2.94
- Jenkins LTS 2.89.1
Descripción:
Una condición de carrera al iniciar Jenkins puede resultar en un orden incorrecto de comandos durante la inicialización.
Solución:
Actualizar a 2.95 o 2.89.2 para Jenkins y Jenkins LTS respectivamente.
Detalle:
Fallos aleatorios al inicializar el wizard de configuración
Esto puede resultar en que algunas opciones de seguridad no se configuren correctamente, como por ejemplo:
- No se ha definido el security realm y no se ha creado un usuario admin, cuya contraseña es guardada en el log de Jenkins i el archivo initialAdminPassword
- La estrategia de autorización se mantiene como "Cualquiera puede hacer todo" en lugar de "Usuarios autenticados pueden hacer todo".
- El puerto TCP para agentes JNLP, normalmente deshabilitado por defecto, queda abierto
- CLI en remoto queda habilitado
- Protección CSRF queda deshabilitada
- Control de acceso Agente -> Maestro queda deshabilitado
Protección CSRF retrasada
Durante un breve espacio de tiempo, la protección contra CSRF puede no estar disponible.
Referencias:
Etiquetas: