Dos
vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una
incorrecta gestión de la cookie "Remeber me", permitirían a un atacante
acceder al sistema de forma persistente o la imposibilidad de invalidar
sesiones activas o reiniciar Jenkins, catalogadas de Importancia: 4 - Alta
Recursos afectados:
Jenkins
Weekly, versiones 2.159 y anteriores.
Jenkins
LTS, versiones 2.150.1 y anteriores.
Recomendación
Desde
Jenkins recomiendan actualizar a las siguientes versiones:
Jenkins
Weekly versión 2.160
Jenkins LTS
versión 2.150.2
Detalle de vulnerabilidades
La
vulnerabilidad de criticidad alta permitiría a usuarios con permisos
Overall/RunScripts generar una cookie "Remember me" que no expiraría
nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras
exista el correspondiente usuario en el dominio de seguridad, además de que le
permitiría acceder al sistema de manera persistente.
Más información
·
Jenkins Security Advisory 2019-01-16 https://jenkins.io/security/advisory/2019-01-16/
Fuente: INCIBE