Se han publicado varias
vulnerabilidades en el software de automatización y despliegue de proyectos
Jenkins. Un atacante remoto podría aprovechar estas vulnerabilidades para
ejecutar código en la aplicación o para evadir los mecanismos de autenticación,
catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·
Todas
las versiones de Jenkins hasta la versión 2.56 y Jenkins LTS 2.46.1, ambas
incluidas.
Recomendación
·
Se
recomienda actualizar a la versión 2.57 de Jenkins y a la 2.46.2 de Jenkins
TLS.
Detalle e impacto de
las vulnerabilidades
Se han hecho públicas las siguientes
vulnerabilidades:
- SECURITY-412 a través de SECURITY-420: Múltiples
vulnerabilidades CSRF (Cross-Site Request Forgery), lo que permitiría a
atacantes remotos realizar acciones administrativas engañando a un usuario
para abrir una página web manipulada. Se ha reservado el identificador
CVE-2017-1000356 para esta vulnerabilidad.
- SECURITY-429: ejecución remota de código. Un
atacante remoto no autenticado podría ejecutar código a través de un
objeto serializado de Java "SignedObject" interactuando con el
CLI de Jenkins, evadiendo la protección basada en listas negras. Se
recomienda a los usuarios no utilizar el CLI de Jenkins y utilizar en su
lugar para interacción remota HTTP o SSH. Se ha reservado el identificador
CVE-2017-1000353 para esta vulnerabilidad.
- SECURITY-466: suplantación de usuario en el inicio
de sesión. El comando login disponible a través del CLI de Jenkins
almacena en cache de manera cifrada el identificador del usuario
autenticado. Los usuarios con permisos suficientes para crear valores
cifrados pueden hacerse pasar por otro usuario en la misma instancia de
Jenkins. Se ha reservado el identificador CVE-2017-1000354 para esta
vulnerabilidad.
- SECURITY-503: fallo en java al instanciar un valor
tipo "void". Jenkins utiliza las librerías XStream para
manipular XML, y estas librerías son vulnerables a un fallo en java al
procesar XML. Esta situación se produce típicamente cuando un usuario con
permisos configura o crea tareas. Se ha reservado el identificador
CVE-2017-1000355 para esta vulnerabilidad.
Más información
·
Jenkins
Security Advisory 2017-04-26 https://jenkins.io/security/advisory/2017-04-26/
Fuente: INCIBE