Jenkins publica en su boletín varias actualizaciones de seguridad que corrigen vulnerabilidades de gravedad media y baja en algunos de sus productos.
Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.
Estas vulnerabilidades afectan a diferentes componentes:
- Ansible Tower Plugin
- Aqua MicroScanner Plugin
- Azure AD Plugin
- GitHub Authentication Plugin
- Koji Plugin
- Self-Organizing Swarm Plug-in Modules Plugin
- SiteMonitor Plugin
- Static Analysis Utilities Plugin
- Twitter Plugin
Ninguna de éstas afecta al core de Jenkins. Pasaremos a comentarlas brevemente:
Un CSRF y una falta de comprobación de permisos podrían permitir la captura de credenciales almacenadas en Jenkins. El plugin ‘Ansible Tower’ no realiza ningún tipo de validación en uno de los formularios de entrada (CVE-2019-10310 y CVE-2019-10311). Esto permitiría a un atacante con permisos de lectura obtener las credenciales para un cierto ID utilizando una URL especialmente diseñada.
Otra vulnerabilidad de comprobación de permisos permitiría a un atacante con permisos de lectura listar los IDs válidos en el sistema (CVE-2019-10312), pudiendo revelar las credenciales de todos los IDs asociados.
Los plugins de ‘Aqua MicroScanner’, ‘Azure AD’ y ‘Twitter’ almacenaban las credenciales en texto plano, en un fichero de configuración global que podía ser accedido por cualquier usuario con acceso al sistema de archivos master (CVE-2019-10316, CVE-2019-10318 y CVE-2019-10313).
Un error durante el proceso de autenticación por OAuth permitía a un atacante capturar la URL de redirección y enviarla a la víctima. Si la víctima se encontraba aún conectada a Jenkins, su cuenta podría quedar asociada a la cuenta de GitHub del atacante (CVE-2019-10315).
Los componentes ‘Koji’ y ‘SiteMonitor’ deshabilita la validación SSL/TLS en toda la JVM de Jenkins (CVE-2019-10314).
Otra de las vulnerabilidades reportadas se encuentra en el componente ‘Self-Organizing Swarm’ y permitiría a un atacante en red local realizar ataques XXE (XML External Entity) y leer el contenido de ficheros arbitrarios de un cliente Swarm o provocar una denegación de servicio (CVE-2019-10309 y CVE-2019-10317).
Finalmente, una falta de comprobación de permisos y un CSRF en uno de los formularios de ‘Static Analysis Utilities’ permitirían a un atacante con permisos de lectura acceder a la configuración de las estadísticas de todos los usuarios (CVE-2019-10307 y CVE-2019-10308).
Se recomienda actualizar estos componentes a las últimas versiones disponibles:
- Ansible Tower Plugin 0.9.2
- Aqua MicroScanner Plugin 1.0.6
- Azure AD Plugin 0.3.4
- GitHub Authentication Plugin 0.32
- SiteMonitor Plugin 0.6
- Static Analysis Utilities Plugin 1.96
Los plugins siguientes aún no han sido parcheados:
- Koji Plugin <=0.3
- Self-Organizing Swarm Plug-in Modules Plugin <=3.15
- SiteMonitor Plugin <=0.5
- Static Analysis Utilities Plugin <=1.95
- Twitter Plugin <=0.7
Jenkins Security Advisory 2019-04-30
https://jenkins.io/security/advisory/2019-04-30/
Deja una respuesta