Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
28/09/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Jenkins 2.80

Notar que las versiones LTS de Jenkins no están afectadas.

Descripción: 

Se han publicado varias vulnerabilidades de Jenkins que aparecen al no iniciarse correctamente el asistente de instalación en el primer inicio de la aplicación y de esta forma omitirse una configuración correcta de seguridad.

Solución: 
  • Los usuarios de Jenkins 2.80 deberán revisar y configurar correcamente todas las opciones del menú Configure Global Security para restringir la seguridad a los valores por defecto.
  • Jenkins 2.81 soluciona las vulnerabilidades ya que impide el inicio incorrecto del asistente de instalación durante el primer inicio de la aplicación.
Detalle: 

Las siguientes opciones de seguridad se configuran como se indica en la versión de Jenkins afectada:

  • No se define ningún dominio de seguridad y no se crea ningún usuario admin cuya contraseña se escribe en el registro de Jenkins o en el archivo initialAdminPassword.
  • La estrategia de autorización es Cualquier persona puede hacer cualquier cosa en lugar de los usuarios conectados pueden hacer cualquier cosa.
  • El puerto TCP de los agentes JNLP que normalmente está desactivado por defecto, está abierto a no ser que se haya configurado una opción del sistema Java.
  • El interfaz de linea de comandos está habilitado de manera remota.
  • La protección CSRF (falsificación de petición en sitios cruzados) está deshabilitada.
  • Agent --> Master Access Control está deshabilitado.