Inicio / Alerta Temprana / Avisos Seguridad / Condición de carrera en Jenkins

Condición de carrera en Jenkins

Fecha de publicación: 
14/12/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Jenkins 2.81 hasta 2.94
  • Jenkins LTS 2.89.1
Descripción: 

Una condición de carrera al iniciar Jenkins puede resultar en un orden incorrecto de comandos durante la inicialización.

Solución: 

Actualizar a 2.95 o 2.89.2 para Jenkins y Jenkins LTS respectivamente.

Detalle: 

Fallos aleatorios al inicializar el wizard de configuración

Esto puede resultar en que algunas opciones de seguridad no se configuren correctamente, como por ejemplo:

  • No se ha definido el security realm y no se ha creado un usuario admin, cuya contraseña es guardada en el log de Jenkins i el archivo initialAdminPassword
  • La estrategia de autorización se mantiene como "Cualquiera puede hacer todo" en lugar de "Usuarios autenticados pueden hacer todo".
  • El puerto TCP para agentes JNLP, normalmente deshabilitado por defecto, queda abierto
  • CLI en remoto queda habilitado
  • Protección CSRF queda deshabilitada
  • Control de acceso Agente -> Maestro queda deshabilitado

Protección CSRF retrasada

Durante un breve espacio de tiempo, la protección contra CSRF puede no estar disponible.

Etiquetas: