Múltiples vulnerabilidades en Jenkins

Fecha de publicación:

28/09/2017

Importancia:

4 - Alta

Recursos afectados:

Jenkins 2.80

Notar que las versiones LTS de Jenkins no están afectadas.

Descripción:

Se han publicado varias vulnerabilidades de Jenkins que aparecen al no iniciarse correctamente el asistente de instalación en el primer inicio de la aplicación y de esta forma omitirse una configuración correcta de seguridad.

Solución:

Los usuarios de Jenkins 2.80 deberán revisar y configurar correctamente todas las opciones del menú Configure Global Security para restringir la seguridad a los valores por defecto.
Jenkins 2.81 soluciona las vulnerabilidades ya que impide el inicio incorrecto del asistente de instalación durante el primer inicio de la aplicación.

Detalle:

Las siguientes opciones de seguridad se configuran como se indica en la versión de Jenkins afectada:

No se define ningún dominio de seguridad y no se crea ningún usuario admin cuya contraseña se escribe en el registro de Jenkins o en el archivo initialAdminPassword.
La estrategia de autorización es Cualquier persona puede hacer cualquier cosa en lugar de los usuarios conectados pueden hacer cualquier cosa.
El puerto TCP de los agentes JNLP que normalmente está desactivado por defecto, está abierto a no ser que se haya configurado una opción del sistema Java.
El interfaz de linea de comandos está habilitado de manera remota.
La protección CSRF (falsificación de petición en sitios cruzados) está deshabilitada.
Agent --> Master Access Control está deshabilitado.

Se ha asignado el identificador JENKINS-47139 para esta vulnerabilidad.

Referencias:

Jenkins Security Advisory 2017-09-27

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Jenkins

Múltiples vulnerabilidades en HPE PPU UCS Meter

Múltiples vulnerabilidades en productos Netgear

Vulnerabilidades en el core de Drupal

Escalada de privilegios en productos Intel

Desbordamiento de búfer en PAN-OS de Paloalto