Jenkins ha publicado
un boletín de seguridad para corregir una vulnerabilidad media y otra menor
sobre su core.
Jenkins es un popular
software de integración continua (CI) de código abierto escrito en Java.
Actualmente es mantenido por la comunidad y por el proveedor de servicios de
CD/CI CloudBees.
Las versiones
afectadas por estas vulnerabilidades son las anteriores a 2.116 para la rama
Jenkins weekly y 2.107.2 para la versión LTS.
La primera
vulnerabilidad identificada con el identificador SECURITY-754, afecta a la
consola de comandos (CLI) y podría permitir a un atacante remoto acceder a
vistas y agentes del sistema. El fallo ha sido descubierto a través de los
errores que el sistema devuelve en función de los argumentos que un atacante va
enviando al sistema.
La segunda
vulnerabilidad identificada con el identificador SECURITY-759, está localizada
en los cuadros de diálogo de confirmación de JavaScript. El fallo expone el
nombre de algunos elementos de forma insegura, lo que podría ser aprovechado
por un atacante para llevar a cabo ataques de tipo ‘cross site scripting’.
Jenkins dispone de
una lista de correo en la cual los usuarios de este software pueden suscribirse
para recibir notificaciones de seguridad. También pone a disposición de
cualquier usuario que descubra alguna vulnerabilidad el siguiente enlace para
reporte.
Más información:
·
Jenkins
security advisory: https://jenkins.io/security/advisory/2018-04-11/
Fuente: Hispasec
