Se han publicado
varias vulnerabilidades en el software de automatización y despliegue de
proyectos Jenkins. Un atacante remoto podría aprovechar estas vulnerabilidades
para lectura de archivos arbitrarios,
restablecimiento de configuraciones, cancelación de trabajos en curso o
XSS en la aplicación, catalogadas de Importancia: 4 - Alta
Recursos afectados:
- Todas las
versiones de Jenkins anteriores a la versión 2.133 y Jenkins LTS
anteriores a 2.121.2
Recomendación
- Se recomienda
actualizar a la versión 2.133 de Jenkins y a la 2.121.2 de Jenkins TLS.
Detalle de vulnerabilidades
Se han hecho públicas
las siguientes vulnerabilidades, de criticidad alta:
SECURITY-897: Se ha
conocido una vulnerabilidad que permitiría a usuarios no autenticados utilizar
credenciales de inicio de sesión creadas de forma malintencionada que provoquen
que Jenkins mueva el archivo config.xml desde el directorio de inicio de
Jenkins. Este archivo de configuración contiene la configuración básica de
Jenkins, incluidos los aspectos de seguridad. Si Jenkins se inicia sin este
archivo, volverá a los valores predeterminados heredados, y otorgará acceso de
administrador a usuarios anónimos.
SECURITY-914: Se ha
detectado una vulnerabilidad de lectura de archivo arbitraria en el framework
web de Stapler utilizado por Jenkins permitiendo a los usuarios no autenticados
enviar solicitudes HTTP manipuladas y devolviendo el contenido de cualquier
archivo del sistema maestro de Jenkins al que tiene acceso el proceso de
Jenkins.
También se han hecho
públicas otras vulnerabilidades de criticidad media con los identificadores:
SECURITY-891, SECURITY-892, SECURITY-944, SECURITY-925 y SECURITY-390.
Más información
·
Jenkins
Security Advisory 2018-07-18 https://jenkins.io/security/advisory/2018-07-18/
Fuente: INCIBE