Múltiples vulnerabilidades en Jenkins
Fecha de publicación:
28/09/2017
Importancia:
4 -
Alta
Recursos afectados:
- Jenkins 2.80
Notar que las versiones LTS de Jenkins no están afectadas.
Descripción:
Se han publicado varias vulnerabilidades de Jenkins que aparecen al no iniciarse correctamente el asistente de instalación en el primer inicio de la aplicación y de esta forma omitirse una configuración correcta de seguridad.
Solución:
- Los usuarios de Jenkins 2.80 deberán revisar y configurar correctamente todas las opciones del menú Configure Global Security para restringir la seguridad a los valores por defecto.
- Jenkins 2.81 soluciona las vulnerabilidades ya que impide el inicio incorrecto del asistente de instalación durante el primer inicio de la aplicación.
Detalle:
Las siguientes opciones de seguridad se configuran como se indica en la versión de Jenkins afectada:
- No se define ningún dominio de seguridad y no se crea ningún usuario admin cuya contraseña se escribe en el registro de Jenkins o en el archivo initialAdminPassword.
- La estrategia de autorización es Cualquier persona puede hacer cualquier cosa en lugar de los usuarios conectados pueden hacer cualquier cosa.
- El puerto TCP de los agentes JNLP que normalmente está desactivado por defecto, está abierto a no ser que se haya configurado una opción del sistema Java.
- El interfaz de linea de comandos está habilitado de manera remota.
- La protección CSRF (falsificación de petición en sitios cruzados) está deshabilitada.
- Agent --> Master Access Control está deshabilitado.
Se ha asignado el identificador JENKINS-47139 para esta vulnerabilidad.
Referencias:
Etiquetas: