Nuevo aviso de Seguridad que afecta a Jenkins

El servidor Jenkins, publicó un aviso de seguridad que contiene 1 vulnerabilidad que es clasificada como Severidad Alta [CVSS v3.1: 7.5]

CVE-2022-2048 [CVSS v3.1: 7.5]
Vulnerabilidad de denegación de servicio HTTP/2 en Jetty incluido 

Esta vulnerabilidad permite a los atacantes no autenticados hacer que la interfaz de usuario de Jenkins no responda al explotar el manejo de solicitudes de Jetty HTTP/2 no válidas, lo que provoca una denegación de servicio (DoS).

Esto se debe a que Jenkins incluye Winstone-Jetty, un capa alrededor de Jetty, para que actúe como servidor HTTP y servlet cuando comience a usar java -jar jenkins.war. De esta forma es como se ejecuta Jenkins cuando se usa cualquiera de los instaladores o paquetes; pero no cuando se ejecuta usando contenedores de servlets como Tomcat.

Se recomienda actualizar el paquete Jetty LTS 2.261.1 a la versión 10.0.11 que no se ve afectada por este problema, además de Jetty que ya se actualizó previamente a la versión 10.0.11 en el lanzamiento semanal 2.363.

NOTA: Se recomienda a los administradores que no puedan actualizar a estas versiones de Jenkins (o más recientes) que deshabiliten HTTP/2.

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.