Una condición de
carrera al iniciar Jenkins puede resultar en un orden incorrecto de comandos
durante la inicialización, catalogada de Importancia: 4 - Alta
Recursos
afectados:
- Jenkins 2.81
hasta 2.94
- Jenkins LTS
2.89.1
Detalle
de vulnerabilidades
Fallos
aleatorios al inicializar el wizard de configuración
Esto puede resultar
en que algunas opciones de seguridad no se configuren conrrectamente, como por
ejemplo:
·
No
se ha definido el security realm y no se ha creado un usuario admin, cuya
contraseña es guardad aen el log de Jenkins i el archivo initialAdminPassword
·
La
estrategia de autorización se mantiene como "Cualquiera puede hacer
todo" en lugar de "Usuarios autenticados pueden hacer todo".
·
El
puerto TCP para agentes JNLP, normalmente deshabilitado por defecto, queda
abierto
·
CLI
en remoto queda habilitado
·
Protección
CSRF queda desabilitada
·
Control
de accceso Agente -> Maestro queda deshabilitado
Protección
CSRF retrasada
·
Durante
un breve espacio de tiempo, la protección contra CSRF puede no estar
disponible.
Recomendación
·
Actualizar
a 2.95 o 2.89.2 para Jenkins y Jenkins LTS respectivamente.
Más
información
·
Jenkins
Security Advisory 2017-12-14 https://jenkins.io/security/advisory/2017-12-14/
Fuente: INCIBE
