Se han publicado varias vulnerabilidades en el software de automatización y despliegue de proyectos Jenkins. Un atacante remoto podría aprovechar estas vulnerabilidades para ejecutar código en la aplicación o para evadir los mecanismos de autenticación, catalogadas de Importancia: 5 – Crítica

Recursos afectados:

  • Todas las versiones de Jenkins hasta la versión 2.56 y Jenkins LTS 2.46.1, ambas incluidas.

Recomendación

  • Se recomienda actualizar a la versión 2.57 de Jenkins y a la 2.46.2 de Jenkins TLS.

Detalle e impacto de las vulnerabilidades

Se han hecho públicas las siguientes vulnerabilidades:

  • SECURITY-412 a través de SECURITY-420: Múltiples vulnerabilidades CSRF (Cross-Site Request Forgery), lo que permitiría a atacantes remotos realizar acciones administrativas engañando a un usuario para abrir una página web manipulada. Se ha reservado el identificador CVE-2017-1000356 para esta vulnerabilidad.
  • SECURITY-429: ejecución remota de código. Un atacante remoto no autenticado podría ejecutar código a través de un objeto serializado de Java “SignedObject” interactuando con el CLI de Jenkins, evadiendo la protección basada en listas negras. Se recomienda a los usuarios no utilizar el CLI de Jenkins y utilizar en su lugar para interacción remota HTTP o SSH. Se ha reservado el identificador CVE-2017-1000353 para esta vulnerabilidad.
  • SECURITY-466: suplantación de usuario en el inicio de sesión. El comando login disponible a través del CLI de Jenkins almacena en cache de manera cifrada el identificador del usuario autenticado. Los usuarios con permisos suficientes para crear valores cifrados pueden hacerse pasar por otro usuario en la misma instancia de Jenkins. Se ha reservado el identificador CVE-2017-1000354 para esta vulnerabilidad.
  • SECURITY-503: fallo en java al instanciar un valor tipo “void”. Jenkins utiliza las librerías XStream para manipular XML, y estas librerías son vulnerables a un fallo en java al procesar XML. Esta situación se produce típicamente cuando un usuario con permisos configura o crea tareas. Se ha reservado el identificador CVE-2017-1000355 para esta vulnerabilidad.

Más información

Fuente: INCIBE

Anuncios