Vulnerabilidad en una carga de la CPU considerable en Jenkins, Jenkins LTS y Jenkins Enterprise de CloudBees (CVE-2012-0785)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
24/02/2020
Última modificación:
21/11/2024
Descripción
Una vulnerabilidad de ataque de colisión de hash en Jenkins versiones anteriores a 1.447, Jenkins LTS versiones anteriores a 1.424.2 y Jenkins Enterprise de CloudBees versiones 1.424.x anteriores a 1.424.2.1 y versiones 1.400.x anteriores a 1.400.0.11, podría permitir a atacantes remotos causar una carga de la CPU considerable, también se conoce como "the Hash DoS attack".
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cloudbees:jenkins:*:*:*:*:enterprise:*:*:* | 1.400.0 (incluyendo) | 1.400.0.11 (excluyendo) |
| cpe:2.3:a:cloudbees:jenkins:*:*:*:*:enterprise:*:*:* | 1.424.0 (incluyendo) | 1.424.2.1 (excluyendo) |
| cpe:2.3:a:jenkins:jenkins:*:*:*:*:lts:*:*:* | 1.424.2 (excluyendo) | |
| cpe:2.3:a:jenkins:jenkins:*:*:*:*:*:*:*:* | 1.447 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2012/01/20/8
- https://access.redhat.com/security/cve/cve-2012-0785
- https://jenkins.io/security/advisory/2012-01-12/
- https://security-tracker.debian.org/tracker/CVE-2012-0785
- https://www.cloudbees.com/jenkins-security-advisory-2012-01-12
- http://www.openwall.com/lists/oss-security/2012/01/20/8
- https://access.redhat.com/security/cve/cve-2012-0785
- https://jenkins.io/security/advisory/2012-01-12/
- https://security-tracker.debian.org/tracker/CVE-2012-0785
- https://www.cloudbees.com/jenkins-security-advisory-2012-01-12