Múltiples vulnerabilidades en Jenkins

Fecha de publicación:

28/09/2017

Importancia:

4 - Alta

Recursos afectados:

Jenkins 2.80

Notar que las versiones LTS de Jenkins no están afectadas.

Descripción:

Se han publicado varias vulnerabilidades de Jenkins que aparecen al no iniciarse correctamente el asistente de instalación en el primer inicio de la aplicación y de esta forma omitirse una configuración correcta de seguridad.

Solución:

Los usuarios de Jenkins 2.80 deberán revisar y configurar correctamente todas las opciones del menú Configure Global Security para restringir la seguridad a los valores por defecto.
Jenkins 2.81 soluciona las vulnerabilidades ya que impide el inicio incorrecto del asistente de instalación durante el primer inicio de la aplicación.

Detalle:

Las siguientes opciones de seguridad se configuran como se indica en la versión de Jenkins afectada:

No se define ningún dominio de seguridad y no se crea ningún usuario admin cuya contraseña se escribe en el registro de Jenkins o en el archivo initialAdminPassword.
La estrategia de autorización es Cualquier persona puede hacer cualquier cosa en lugar de los usuarios conectados pueden hacer cualquier cosa.
El puerto TCP de los agentes JNLP que normalmente está desactivado por defecto, está abierto a no ser que se haya configurado una opción del sistema Java.
El interfaz de linea de comandos está habilitado de manera remota.
La protección CSRF (falsificación de petición en sitios cruzados) está deshabilitada.
Agent --> Master Access Control está deshabilitado.

Se ha asignado el identificador JENKINS-47139 para esta vulnerabilidad.

Referencias:

Jenkins Security Advisory 2017-09-27

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Jenkins

Actualización de seguridad de Joomla! 3.9.25

Múltiples vulnerabilidades en GRUB2

Actualización fuera de ciclo de Microsoft Exchange Server

Múltiples vulnerabilidades en productos de Cisco

Múltiples vulnerabilidades en productos VMware