Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Jenkins

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
07/12/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • Jenkins Weekly versión 2.153 y anteriores.
  • Jenkins LTS versión 2.138.3 y anteriores.
Descripción: 

Jenkins ha publicado 4 vulnerabilidades en varios productos, siendo 1 de severidad crítica y 3 de severidad media.

Solución: 
Detalle: 

A continuación se detalla únicamente la vulnerabilidad de severidad crítica, que tiene asignado el identificador SECURITY-595.

  • Para el manejo de peticiones HTTP, Jenkins utiliza el framework web Stapler el cual emplea el acceso reflexivo a elementos de código que coinciden con sus convenciones de nomenclatura, dado que estas coinciden estrechamente con los patrones de código comunes en Java, el acceso a URLs diseñadas podría invocar métodos que nunca tuvieron la intención de ser invocados de esta manera. Esto podría derivar en que los usuarios:
    • No autenticados podrían invalidar todas las sesiones cuando ejecutan Jenkins con el servidor Winstone-Jetty integrado.
    • Con permiso Overall/Read podrían crear nuevos objetos de usuario en la memoria.
    • Con permiso Overall/Read podrían iniciar manualmente las ejecuciones de implementaciones de AsyncPeriodicWork que de otro modo se ejecutarían periódicamente.

Para las demás vulnerabilidades, Jenkins ha asignado los siguientes identificadores: SECURITY-904, SECURITY-1072 y SECURITY-1193

Encuesta valoración