Nuevo lanzamiento con avisos de seguridad en Jenkins

07 Octubre 2021
Alto

Jenkins ha publicado un nuevo aviso de seguridad con 4 vulnerabilidades las cuales que contemplan 1 aviso de severidad alta y 3 de severidad media que afectan entre otros a Windows.

Severidad Alta

CVE-2021-21684
Vulnerabilidad XSS almacenada en el complemento Git 

Git Plugin 4.8.2 y versiones anteriores no escapan a los parámetros de suma de comprobación Git SHA-1 proporcionados para confirmar notificaciones cuando se muestran en una causa de compilación. Esto da como resultado una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que los atacantes pueden aprovechar para enviar notificaciones de confirmación creadas al /git/notifyCommitendpoint.

Git Plugin 4.8.3 rechaza los parámetros de suma de comprobación Git SHA-1 que no coinciden con el formato esperado. Los valores existentes se desinfectan cuando se muestran en la interfaz de usuario.

Severidad Media

CVE-2021-21682
Manejo inadecuado de nombres de directorio equivalentes en Windows 

Jenkins almacena trabajos y otras entidades en el disco usando su nombre que se muestra en la interfaz de usuario como nombres de archivos y carpetas. En Windows, al especificar un archivo o carpeta con un carácter de punto final, el archivo o carpeta se tratará como si ese carácter no estuviera presente. 

Como ambos son nombres legales para trabajos y otras entidades en Jenkins 2.314 y versiones anteriores, LTS 2.303.1 y versiones anteriores, esto podría permitir a los usuarios con los permisos adecuados cambiar o reemplazar configuraciones de trabajos y otras entidades. Jenkins 2.315, LTS 2.303.2 no permite que los nombres de trabajos y otras entidades terminen con un carácter de punto.

CVE-2014-3577
Jenkins core incluye una versión vulnerable de la biblioteca commons-httpclient 

Jenkins 2.314 y versiones anteriores, LTS 2.303.1 y versiones anteriores incluyen una versión de la biblioteca commons-httpclient con la vulnerabilidad CVE-2014-3577 que verificó incorrectamente los certificados SSL / TLS, lo que la hace susceptible a ataques de intermediario.

Esta biblioteca se usa ampliamente como una dependencia transitiva en los complementos de Jenkins. La corrección para CVE-2014-3577 se retroportó a la versión de commons-httpclient que se incluye en Jenkins 2.315, LTS 2.303.2 y está disponible para complementos.

CVE-2021-21683
Vulnerabilidad de recorrido de ruta en Windows 

El explorador de archivos para espacios de trabajo, artefactos archivados y userContent/en Jenkins 2.314 y versiones anteriores, LTS 2.303.1 y versiones anteriores pueden interpretar algunas rutas a archivos como absolutas en Windows.

Esto da como resultado una vulnerabilidad de recorrido de ruta que permite a los atacantes con permiso general / de lectura (controlador de Windows) o permiso de trabajo / espacio de trabajo (agentes de Windows) obtener el contenido de archivos arbitrarios. El explorador de archivos en Jenkins 2.315, LTS 2.303.2 se niega a entregar archivos que se consideran rutas absolutas.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complemento #CVE-2021-21684 #CVE-2021-21682 #CVE-2014-3577 #CVE-2021-21683


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.