Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/07/2018

Actualitzacions de seguretat per a Jenkins

S'han publicat actualitzacions de seguretat per a 7 vulnerabilitats detectades de criticitat alta i mitjana.

Les vulnerabilitats identificades podrien permetre a un atacant llegir fitxers arbitraris, cancel·lar treballs i fins i tot portar atacs de Cross-site scripting reflectit i emmagatzemat.

Una de les més importants que s'ha corregit és la que podria permetre a usuaris no autenticats utilitzar credencials d'accés manipulades, provocant que Jenkins moga el fitxer config.xml. Aquest fitxer conté les configuracions bàsiques incloses les de seguretat i accés, per la qual cosa si Jenkins arranca sense aquest fitxer en la seua ubicació comuna, la configuració es restabliria per defecte atorgant permisos d'administrador a usuaris anònims.

Sistemes Afectats:

• Jenkins 2.132 i anteriors.

• Jenkins LTS 2.121.2 i anteriors.

Referències:

None

Solució:

• Actualitzar Jenkins a la versió 2.133
• Actualitzar Jenkins LTS a la versió 2.121.2

Notes:

Més informació

CSIRT-CV