Múltiples vulnerabilidades en Jenkins
- Active Directory Plugin, versión 2.10 y anteriores.
- Blue Ocean Plugin, versión 1.10.1 y anteriores.
- Config File Provider Plugin, versión 3.4.1 y anteriores.
- Git Plugin, versión 3.9.1 y anteriores.
- GitHub Authentication Plugin, versión 0.29 y anteriores.
- Groovy Plugin, versión 2.0 y anteriores.
- Job Import Plugin, versión 2.1 y anteriores.
- Job Import Plugin, versión 3.0 y anteriores.
- Kanboard Plugin, versión 1.5.10 y anteriores.
- Monitoring Plugin, versión 1.74.0 y anteriores.
- OpenId Connect Authentication Plugin, versión 1.4 y anteriores.
- Script Security Plugin, versión 1.50 y anteriores.
- Token Macro Plugin, versión 2.5 y anteriores.
- Warnings Plugin, versión 5.0.0 y anteriores.
- Warnings Next Generation Plugin, versión 2.1.1 y anteriores.
- Warnings Next Generation Plugin, versión 1.0.1 y anteriores.
Jenkins ha publicado 20 vulnerabilidades que afectan a varios de sus productos, siendo 6 de ellas de severidad alta y las demás categorizadas como medias o bajas.
- Active Directory Plugin, actualizar a la versión 2.11
- Blue Ocean Plugin, actualizar a la versión 1.10.2
- Config File Provider Plugin, actualizar a la versión 3.5
- Git Plugin, actualizar a la versión 3.9.2
- GitHub Authentication Plugin, actualizar a la versión 0.31
- Groovy Plugin, actualizar a la versión 2.1
- Job Import Plugin, actualizar a la versión 3.0
- Job Import Plugin, actualizar a la versión 3.1
- Kanboard Plugin, actualizar a la versión 1.5.11
- Monitoring Plugin, actualizar a la versión 1.75.0
- OpenId Connect Authentication Plugin, actualizar a la versión 1.5
- Script Security Plugin, actualizar a la versión 1.51
- Token Macro Plugin, actualizar a la versión 2.6
- Warnings Plugin, actualizar a la versión 5.0.1
- Warnings Next Generation Plugin, actualizar a la versión 2.1.2
- Warnings Next Generation Plugin, actualizar a la versión 2.0.0
Las vulnerabilidades de severidad alta son:
- Validación de certificados incorrecta con StartTLS en Active Directory Plugin, se ha asignado el identificador SECURITY-859 y [Actualización 07/02/2019] el CVE-2019-1003009.
- XML External Entity (XXE), se ha asignado el identificador SECURITY-905 (1) y [Actualización 07/02/2019] el CVE-2019-1003015.
- Sandbox Bypass en Script Security Plugin, se ha asignado el identificador SECURITY-1292 y [Actualización 07/02/2019] el CVE-2019-1003005.
- Sandbox Bypass en Groovy Plugin, se ha asignado el identificador SECURITY-1293 y [Actualización 07/02/2019] el CVE-2019-1003006.
- Sandbox Bypass vía CSRF en Warnings Plugin, se ha asignado el identificador SECURITY-1295 (1) y [Actualización 07/02/2019] el CVE-2019-1003007.
- Sandbox Bypass vía CSRF en Warnings Plugin Next Generation Plugin, se ha asignado el identificador SECURITY-1295 (2) y [Actualización 07/02/2019] el CVE-2019-103008.
Para el resto de vulnerabilidades se han asignado los identificadores: SECURITY-602, SECURITY-797, SECURITY-818, SECURITY-886, SECURITY-905 (2), SECURITY-1095, SECURITY-1102, SECURITY-1153, SECURITY-1154, SECURITY-1201, SECURITY-1204, SECURITY-1253, SECURITY-1271 y SECURITY-1302. [Actualización 07/02/2019]: Se han asignado los CVE-2019-1003018, CVE-2019-1003019, CVE-2019-1003020, CVE-2019-1003021, CVE-2019-1003016, CVE-2019-1003010, CVE-2019-1003011, CVE-2019-1003022, CVE-2019-1003012, CVE-2019-1003013, CVE-2019-1003014, CVE-2019-1003023 y CVE-2019-1003017.