Jenkins publica dos vulnerabilidades que pueden llevar a un ataque de DoS

10 Febrero 2022
Medio
Amenaza

Jenkins ha publicado un nuevo aviso de seguridad que contempla 2 vulnerabilidades Medias. Estas fallas afectan a los complementos de Jenkins Weekly y LTS.

CVE-2021-43859 y CVE-2022-0538
Vulnerabilidad de denegación de servicios (DoS) en la librería XStream 

Las versiones afectadas de los complementos Jenkins son vulnerables a CVE-2021-43859 de la biblioteca XStream. Esta biblioteca es utilizada por Jenkins para serializar y deserializar varios archivos XML, como global y job config.xml, build.xml, y muchos otros.

Esto permite que los atacantes puedan enviar archivos XML manipulados a Jenkins para ser analizados como configuración, por ejemplo, a través de la API POST config.xml, para causar una denegación de servicio (DoS).

Nota: Si bien la dependencia de XStream se actualizó anteriormente en el lanzamiento semanal 2.333, los cambios específicos de Jenkins en 2.334 son necesarios para que esté protegido.

Mitigación

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:
Tags: #Jenkins #Parche #Vulnerabilidad #CVE-2021-43859 #CVE-2022-0538
Fuentes utilizadas
https://www.jenkins.io/security/advisory/2...
Enlaces Internos


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.