Vulnerabilidad en GoCD (CVE-2022-39308)

GoCD es un servidor de entrega continua. GoCD le ayuda a automatizar y agilizar el ciclo de construcción-prueba-lanzamiento para la entrega continua de su producto. Las versiones de GoCD desde la 19.2.0 hasta 19.10.0 (incluyéndola) están sujetas a un ataque de tiempo en la comprobación de tokens de acceso debido al uso de la comparación de cadenas regulares para la comprobación del token en lugar de un algoritmo de tiempo constante. Esto podría permitir un ataque de fuerza bruta en las llamadas a la API del servidor de GoCD para observar las diferencias de tiempo en las validaciones con el fin de adivinar un token de acceso generado por un usuario para acceder a la API. Este problema ha sido corregido en GoCD versión 19.11.0. Como mitigación, los usuarios pueden aplicar una limitación de velocidad o insertar retrasos aleatorios en las llamadas a la API realizadas al servidor GoCD por medio de un proxy inverso u otro servidor web de fachada. Otra mitigación es que los usuarios no permitan el uso de tokens de acceso por parte de los usuarios haciendo que un administrador revoque todos los tokens de acceso mediante de la función de administración "Access Token Management"