Se han publicado varias
vulnerabilidades de Jenkins que aparecen al no iniciarse correctamente el
asistente de instalación en el primer inicio de la aplicación y de esta forma
omitirse una configuración correcta de seguridad y que han sido catalogadas de
importancia: 4-Alta
Recursos afectados:
·
Jenkins
2.80
Notar que las versiones LTS de Jenkins
no están afectadas.
Detalle e impacto de
las vulnerabilidades
Las siguientes opciones de seguridad
se configuran como se indica en la versión de Jenkins afectada:
- No se define ningún dominio de seguridad y no se
crea ningún usuario admin cuya contraseña se escribe en el registro de
Jenkins o en el archivo initialAdminPassword.
- La estrategia de autorización es Cualquier persona
puede hacer cualquier cosa en lugar de los usuarios conectados pueden
hacer cualquier cosa.
- El puerto TCP de los agentes JNLP que normalmente
está desactivado por defecto, está abierto a no ser que se haya
configurado una opción del sistema Java.
- El interfaz de linea de comandos está habilitado de
manera remota.
- La protección CSRF (falsificación de petición en
sitios cruzados) está deshabilitada.
- Agent --> Master Access Control está
deshabilitado.
Recomendación
- Los usuarios de Jenkins 2.80 deberán revisar y
configurar correcamente todas las opciones del menú Configure Global
Security para restringir la seguridad a los valores por defecto.
- Jenkins 2.81 soluciona las vulnerabilidades ya que
impide el inicio incorrecto del asistente de instalación durante el primer
inicio de la aplicación desde https://jenkins.io/download/
Más información
·
Jenkins
Security Advisory 2017-09-27 https://jenkins.io/security/advisory/2017-09-27/
Fuente: INCIBE
