Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Jenkins

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
30/01/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Jenkins LTS, versión 2.204.1 y anteriores;
  • Jenkins weekly, versión 2.218 y anteriores.
Descripción: 

Jenkins ha detectado 7 vulnerabilidades, una de criticidad baja, cinco medias y una alta, que afectan a su core. Un atacante remoto, sin autenticación, podría comprometer el cifrado de las comunicaciones, generar una condición de denegación de servicio en el sistema u obtener información del mismo.

Solución: 
  • Jenkins LTS, actualizar a la versión 2.204.2;
  • Jenkins weekly, actualizar a la versión 2.219.
Detalle: 
  • La vulnerabilidad de criticidad alta se debe a una incorrecta reutilización de los parámetros de cifrado en el protocolo. Un atacante remoto, sin autenticar, podría comprometer el cifrado de las comunicaciones y conectarse desde los agentes Jenkins comprometidos al Jenkins maestro. Se ha asignado el identificador CVE-2020-2099 para esta vulnerabilidad.
  • A las vulnerabilidades de criticidad media se las han reservado los identificadores: CVE-2020-2100, CVE-2020-2101, CVE-2020-2102, CVE-2020-2103, CVE-2020-2104.
  • A la vulnerabilidad de criticidad baja se le ha asignado el identificador CVE-2020-2105.

Encuesta valoración