Home / Node / Boletín de INCIBE-CERT del 17-01-2019

Boletín de INCIBE-CERT del 17-01-2019

Gestión inadecuada de cookie en Jenkins

Publication date: 
01/17/2019
Importance: 
4 - Alta
Affected resources: 
  • Jenkins Weekly, versiones 2.159 y anteriores.
  • Jenkins LTS, versiones 2.150.1 y anteriores.
Description: 

Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie "Remeber me", permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins.

Solution: 

Desde Jenkins recomiendan actualizar a las siguientes versiones:

  • Jenkins Weekly versión 2.160
  • Jenkins LTS versión 2.150.2
Detail: 
  • La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie "Remember me" que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente. [Actualización 28/01/2019] Se ha asignado el identificador CVE-2019-1003003 para esta vulnerabilidad.

[Actualización 28/01/2019]

  • Se ha asignado el identificador CVE-2019-1003004 para la vulnerabilidad de criticidad media.

Encuesta valoración

Múltiples vulnerabilidades en el núcleo de Drupal

Publication date: 
01/17/2019
Importance: 
5 - Crítica
Affected resources: 
  • Drupal versiones 7.x, 8.5.x y 8.6.x
Description: 

El equipo de seguridad de Drupal ha publicado tres actualizaciones que corrigen múltiples vulnerabilidades en las versiones 7 y 8.

Solution: 
  • Actualizar a Drupal 7.62, 8.5.9 o 8.6.6 en función de la versión utilizada.

Las versiones de Drupal 8 anteriores a la 8.5.x están al final de su vida útil y no reciben cobertura de seguridad.

Detail: 

Las principales vulnerabilidades corregidas con estas actualizaciones son:

  • El núcleo de Drupal utiliza la biblioteca PEAR Archive_Tar de terceros. Esta biblioteca ha publicado una actualización de seguridad que afecta a algunas configuraciones de Drupal. Se ha asignado el identificador CVE-2019-6338 para esta vulnerabilidad.
  • Una vulnerabilidad de ejecución de código remoto en el envoltorio integrado de phar stream de PHP, cuando se realizan operaciones de archivo en un phar:// URI no confiable, podría afectar a algunos códigos de Drupal (core, contrib y custom) que estén realizando operaciones de ficheros con entradas de usuario con validación incorrecta. Esta vulnerabilidad se ve mitigada por el hecho de que tales rutas de código normalmente requieren acceso con permisos de administrador o  una configuración atípica. Se ha asignado el identificador CVE-2019-6338 para esta vulnerabilidad. Se ha asignado el identificador CVE-2019-6339 para esta vulnerabilidad.

Encuesta valoración