Inicio / Content / Boletín de INCIBE-CERT del 05-11-2021

Boletín de INCIBE-CERT del 05-11-2021

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
05/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Jenkins weekly, versiones 2.318 y anteriores;
  • Jenkins LTS, versiones 2.303.2 y anteriores;
  • Subversion Plugin, versiones 2.15.0 y anteriores.
Descripción: 

Daniel Beck, investigador de CloudBees, Inc., ha informado de 14 vulnerabilidades en Jenkins, 13 de ellas afectan al core (11 con severidad crítica y 2 altas) y la restante al plugin Subversion (severidad media).

Solución: 
  • Jenkins weekly, actualizar a la versión 2.319;
  • Jenkins LTS, actualizar a la versión 2.303.3;
  • Subversion Plugin, actualizar a la versión 2.15.1.
Detalle: 

Las vulnerabilidades críticas del core se describen a continuación:

  • FilePath#mkdirs no comprueba el permiso para crear directorios padre. Se ha asignado el identificador CVE-2021-21685 para esta vulnerabilidad.
  • Los filtros de rutas de archivos no canonizan las rutas, permitiendo que las operaciones sigan enlaces simbólicos a directorios no permitidos. Se ha asignado el identificador CVE-2021-21686 para esta vulnerabilidad.
  • FilePath#untar no comprueba el permiso para crear enlaces simbólicos al desarchivar un enlace simbólico. Se ha asignado el identificador CVE-2021-21687 para esta vulnerabilidad.
  • FilePath#reading(FileVisitor) no rechaza ninguna operación, lo que permite a los usuarios tener acceso de lectura sin restricciones utilizando ciertas operaciones (creación de archivos, #copyRecursiveTo). Se ha asignado el identificador CVE-2021-21688 para esta vulnerabilidad.
  • FilePath#unzip y FilePath#untar no estaban sujetos a ningún control de acceso. Se ha asignado el identificador CVE-2021-21689 para esta vulnerabilidad.
  • Los procesos de los agentes son capaces de eludir completamente el filtrado de la ruta del archivo envolviendo la operación del archivo en una ruta de archivo del agente. Se ha asignado el identificador CVE-2021-21690 para esta vulnerabilidad.
  • La creación de enlaces simbólicos es posible sin el permiso de symlink. Se ha asignado el identificador CVE-2021-21691 para esta vulnerabilidad.
  • Las operaciones FilePath#renameTo y FilePath#moveAllChildrenTo sólo comprueban el permiso de lectura en la ruta de origen. Se ha asignado el identificador CVE-2021-21692 para esta vulnerabilidad.
  • Cuando se crean archivos temporales, el permiso para crear archivos sólo se comprueba después de haberlos creado. Se ha asignado el identificador CVE-2021-21693 para esta vulnerabilidad.
  • FilePath#toURI, FilePath#hasSymlink, FilePath#absolutize, FilePath#isDescendant y FilePath#get*DiskSpace no comprueban ningún permiso. Se ha asignado el identificador CVE-2021-21694 para esta vulnerabilidad.
  • FilePath#listFiles lista los archivos fuera de los directorios con acceso de lectura del agente cuando se siguen enlaces simbólicos. Se ha asignado el identificador CVE-2021-21695 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-21696, CVE-2021-21697 y CVE-2021-21698.

Encuesta valoración