Se han publicado varias
vulnerabilidades en el software de automatización y despliegue de proyectos
Jenkins. Un atacante remoto podría aprovechar estas vulnerabilidades para
ejecutar ataques de falsificación de petición en sitios cruzados (CSRF), inyecciones
de código malicioso (XSS) tanto persistente como reflejado, enumeración de
credenciales por parte de usuarios sin privilegios, falsificación de
solicitudes del lado del servidor (SSRF), almacenaje de credenciales
almacenadas en texto plano o acceso a cuentas sin validación apropiada,
catalogadas de Importancia: 4 - Alta
Recursos
afectados:
1.
Arachni
Scanner Plugin versión 0.9.7 y anteriores.
2.
Argus
Notifier Plugin versión 1.0.1 y anteriores.
3.
Artifactory
Plugin versión 2.16.1 y anteriores.
4.
Chatter
Notifier Plugin versión 2.0.4 y anteriores.
5.
Config
File Provider Plugin versión 3.1 y anteriores.
6.
Crowd
2 Integration Plugin versión 2.0.0 y anteriores.
7.
Dimensions
Plugin versión 0.8.14 y anteriores.
8.
Email
Extension Template Plugin versión 1.0 y anteriores.
9.
Git
Changelog Plugin versión 2.6 y anteriores.
10.HipChat Plugin versión 2.2.0 y anteriores.
11.JIRA Plugin versión 3.0.1 y anteriores.
12.Job Configuration History Plugin versión 2.18 y
anteriores.
13.JUnit Plugin versión 1.25 y anteriores.
14.mesos Plugin versión 0.17.1 y anteriores.
15.Metadata Plugin versión 1.1.0b y anteriores.
16.Monitoring Plugin versión 1.73.1 y anteriores.
17.MQ Notifier Plugin versión 1.2.6 y anteriores.
18.PAM Authentication Plugin versión 1.3 y anteriores.
19.Publish Over Dropbox Plugin versión 1.2.4 y anteriores.
20.Rebuilder Plugin versión 1.28 y anteriores.
21.SonarQube Scanner Plugin versión 2.8 y anteriores.
Recomendación
·
Arachni
Scanner Plugin debe ser actualizado a la versión 1.0.0.
·
Argus
Notifier Plugin debe ser actualizado a la versión 1.0.2.
·
Artifactory
Plugin debe ser actualizado a la versión 2.16.2.
·
Chatter
Notifier Plugin debe ser actualizado a la versión 2.0.5.
·
Config
File Provider Plugin debe ser actualizado a la versión 3.2.
·
Crowd
2 Integration Plugin debe ser actualizado a la versión 2.0.1.
·
Dimensions
Plugin debe ser actualizado a la versión 0.8.15.
·
Email
Extension Template Plugin debe ser actualizado a la versión 1.1.
·
Git
Changelog Plugin debe ser actualizado a la versión 2.7.
·
HipChat
Plugin debe ser actualizado a la versión 2.2.1.
·
JIRA
Plugin debe ser actualizado a la versión 3.0.2.
·
Job
Configuration History Plugin debe ser actualizado a la versión 2.18.1.
·
JUnit
Plugin debe ser actualizado a la versión 1.26.
·
mesos
Plugin debe ser actualizado a la versión 0.18.
·
Metadata
Plugin aún no tiene fix disponible.
·
Monitoring
Plugin debe ser actualizado a la versión 1.74.0.
·
MQ
Notifier Plugin debe ser actualizado a la versión 1.2.7.
·
PAM
Authentication Plugin debe ser actualizado a la versión 1.4.
·
Publish
Over Dropbox Plugin debe ser actualizado a la versión 1.2.5.
·
Rebuilder
Plugin debe ser actualizado a la versión 1.29.
·
SonarQube
Scanner Plugin debe ser actualizado a la versión 2.8.1.
Detalle
de vulnerabilidades
De todas las vulnerabilidades, solo la
siguiente tiene criticidad alta:
·
SECURITY-1156:
La biblioteca JavaMelody incluida en Monitoring Plugin se ve afectada por una
vulnerabilidad de procesamiento de XML External Entity (XXE). Esto permite al
atacante enviar solicitudes elaboradas a una aplicación web para extraer
información del sistema de archivos, falsificación de solicitudes del lado del
servidor (SSRF) o ataques de denegación de servicio (DoS). Se ha reservado el
identificador CVE-2018-15531 para esta vulnerabilidad.
·
También
se han hecho públicas otras vulnerabilidades de criticidad media y baja con los
identificadores: SECURITY-130, SECURITY-265, SECURITY-813 (CVE-2017-12197),
SECURITY-845, SECURITY-938, SECURITY-948, SECURITY-972, SECURITY-984 (2),
SECURITY-1011 (2), SECURITY-1013 (2), SECURITY-1029, SECURITY-1050 (2),
SECURITY-1065, SECURITY-1067, SECURITY-1068, SECURITY-1075, SECURITY-1080,
SECURITY-1101, SECURITY-1108, SECURITY-1122, SECURITY-1125, SECURITY-1130,
SECURITY-1135, y SECURITY-1163.
Más
información
Fuente: INCIBE