CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

27/03/2020

Múltiples vulnerabilitats en Jenkins

Jenkins, servidor d'automatització de codi obert, que permet als desenvolupadors construir, provar i implementar el seu software, presenta quatre noves vulnerabilitats. Una vulnerabilitat de criticitat alta i d’altres tres de criticitat mitjana.

Risc: Alt

Les vulnerabilitats detectades afecten al seu core, les quals permeten realitzar atacs de tipus "Cross-Site Request Forgery" i "Cross-Site Scripting" persistent.

En les versions vulnerables de Jenkins, és possible desactivar selectivament la protecció contra atacs de tipus CSRF per a URL específiques. A aquesta vulnerabilitat se li ha assignat l'identificador CVE-2020-2160.

Les vulnerabilitats de severitat mitjana tenen assignats els identificadors següents CVE-2020-2161, CVE-2020-2162 i CVE-2020-2163.

Més informació en l’enllaç següent.

Sistemes Afectats:

- Jenkins LTS, versió 2.204.5 i anteriors
- Jenkins weekly, versió 2.227 i anteriors

Referències:

CVE-2020-2160, CVE-2020-2161, CVE-2020-2162, CVE-2020-2163.

Solució:

La solució passa per realitzar actualitzacions:
- Jenkins LTS, a la versió 2.204.6 o 2.222.1
- Jenkins weekly, actualitzar a la versió 2.228

Notes:

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-jenkins-8
https://jenkins.io/security/advisory/2020-03-25/

Font: Incibe-cert

CSIRT-CV