Nuevas actualizaciones para complementos de Jenkins

01 Septiembre 2021
Alto

Jenkins ha publicado un nuevo aviso de seguridad que contiene 5 vulnerabilidades, de las cuales 4 son de severidad Alta y 1 de severidad baja que afectan a complementos como Azure AD, Nomad, SAML, entre otros.

Severidad Alta

CVE-2021-21677 Vulnerabilidad de RCE en el complemento de API de cobertura de código

Las versiones afectadas del complemento de API de cobertura de código no aplican la protección de deserialización JEP-200 a los objetos Java que deserializa desde el disco, dando como resultado una vulnerabilidad de ejecución remota de código (RCE) que los atacantes pueden aprovechar para controlar los procesos de los agentes.

CVE-2021-21678 El complemento SAML permite omitir la protección CSRF para cualquier URL 

Un punto de extensión en Jenkins permite deshabilitar selectivamente la protección de falsificación de solicitudes entre sitios (CSRF) para URL específicas. El complemento SAML implementa este punto de extensión para la URL a la que se redirige a los usuarios después de iniciar sesión. En las versiones afectadas del complemento esta implementación es demasiado permisiva, lo que permite a los atacantes crear URL que eludirían la protección CSRF de cualquier URL de destino.

CVE-2021-21679 El complemento de Azure AD permite omitir la protección CSRF para cualquier URL 

Una extensión en Jenkins permite deshabilitar selectivamente la protección de falsificación de solicitudes entre sitios (CSRF) para URL específicas. El complemento de Azure AD implementa este punto de extensión para las direcciones URL que usa un componente de JavaScript. 

El complemento de Azure AD 180.v8b1e80e6f242 ya no permite omitir la protección CSRF para las direcciones URL que usa el componente de JavaScript. En cambio, ese componente se reconfiguró para pasar el token CSRF esperado.

CVE-2021-21680 Vulnerabilidad XXE en el complemento de vista anidada 

Las versiones afectadas de Nested View Plugin no configuran su transformador XML para evitar ataques de entidad externa XML (XXE), permitiendo a los atacantes configurar vistas para que Jenkins analice una definición XML de vista diseñada que utiliza entidades externas para la extracción de información sensible de Jenkins o la falsificación de solicitudes del lado del servidor.

Severidad Baja

CVE-2021-21681 Contraseña almacenada en texto sin formato por Nomad Plugin

Las versiones afectadas de Nomad Plugin almacenan las contraseñas para autenticarse en el registro de Docker sin cifrar en el config.xmlarchivo global en el controlador Jenkins como parte de la configuración de las plantillas de trabajo. (Los usuarios con acceso al sistema de archivos del controlador Jenkins pueden ver estas contraseñas).

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complemento #CVE-2021-21677 #CVE-2021-21678 #CVE-2021-21679 #CVE-2021-21680 # CVE-2021-21681


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.