Enviado por kparavicini el Lun, 07/12/2020 - 14:15

 

Jenkins es un servidor de automatización de código abierto que permite a los desarrolladores de todo el mundo compilar, testear y desplegar su software.

Se han encontrado vulnerabilidades en los siguientes plugins, de los cuales ya se ha lanzado una actualización de seguridad de los mismos para solventarlas:

  • Chaos Monkey Plugin
  • Chaos Monkey Plugin
  • CVS Plugin
  • Shelve Project Plugin
  • Plugin Installation Manager Tool

VULNERABILIDADES

XXE vulnerability en CVS Plugin (SECURITY-2146 / CVE-2020-2324)

CVS Plugin 2.16 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite a los atacantes controlar un proceso de agente para provocar que Jenkins analice un archivo de registro de cambios diseñado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

Mitigación

CVS Plugin 2.17 deshabilita la resolución de entidades externas para su analizador XML.

La herramienta Administrador de instalación de complementos no verifica las descargas de complementos (SECURITY-1856 / CVE-2020-2320 )

La herramienta Plugin Installation Manager es parte de las imágenes de Docker del proyecto Jenkins. Como jenkins-plugin-cli, se utiliza para descargar e instalar complementos incluso antes de que Jenkins se esté ejecutando.

Plugin Installation Manager Tool 2.1.3 y versiones anteriores no verifica las descargas de complementos. Esto puede permitir que terceros, como los operadores espejo, proporcionen descargas de complementos diseñados.

Mitigación

Plugin Installation Manager Tool 2.2.0 confirma que las sumas de comprobación reales del complemento descargado coinciden con las sumas de comprobación esperadas.

Las imágenes de Docker de Jenkins 2.269 y 2.263.1 contienen Plugin Installation Manager Tool 2.2.0. Los usuarios de imágenes de Docker más antiguas pueden cambiar la versión que usan extendiendo la imagen de Jenkins y actualizando la herramienta ellos mismos con:

ARG PLUGIN_CLI_URL=https://github.com/jenkinsci/plugin-installation-manager-tool/releases/download/2.2.0/jenkins-plugin-manager-2.2.0.jar RUN curl -fsSL ${PLUGIN_CLI_URL} -o /usr/lib/jenkins-plugin-manager.jar

Vulnerabilidad CSRF en el complemento de proyecto Shelve (SECURITY-2108 / CVE-2020-2321 )

Shelve Project Plugin 3.0 y versiones anteriores no requieren solicitudes POST para puntos finales HTTP, lo que genera vulnerabilidades de falsificación de solicitudes entre sitios (CSRF).

Estas vulnerabilidades permiten a los atacantes archivar, retirar o eliminar un proyecto.

Mitigación

Shelve Project Plugin 3.1 requiere solicitudes POST para los puntos finales HTTP afectados.

Faltan comprobaciones de permisos en el complemento Chaos Monkey (SECURITY-2109 (1) / CVE-2020-2322)

Chaos Monkey Plugin 0.3 y versiones anteriores no realiza comprobaciones de permisos en varios puntos finales HTTP.

Esto permite a los atacantes con permiso general / lectura generar carga y generar pérdidas de memoria.

Mitigación

Chaos Monkey Plugin 0.4 requiere permiso general / administrador para generar carga y generar pérdidas de memoria.

Faltan comprobaciones de permisos en el complemento Chaos Monkey

El complemento Chaos Monkey 0.4 y versiones anteriores no realiza comprobaciones de permisos en un punto final HTTP.

Esto permite a los atacantes con permiso general/lectura acceder a la página de Chaos Monkey y ver el historial de acciones.

Mitigación

Chaos Monkey Plugin 0.4.1 requiere permiso general/administración para acceder a la página Chaos Monkey y ver el historial de acciones.

SEVERIDAD

  • SECURITY-1856: Alto
  • SECURITY-2108: Alto
  • SECURITY-2109 (1): Medio
  • SECURITY-2109 (2): Medio
  • SECURITY-2146: Alto

VERSIONES AFECTADAS

  • Chaos Monkey Plugin hasta e incluyendo 0.3
  • Chaos Monkey Plugin hasta e incluyendo 0.4
  • CVS Plugin hasta e incluyendo 2.16
  • Shelve Project Plugin hasta e incluyendo 3.0
  • Plugin Installation Manager Tool hasta e incluyendo 2.1.3

MITIGACIÓN

  • Chaos Monkey Plugin debe actualizarse a la versión 0.4
  • Chaos Monkey Plugin debe actualizarse a la versión 0.4.1
  • CVS Plugin debe actualizarse a la versión 2.17
  • Shelve Project Plugin debe actualizarse a la versión 3.1
  • Plugin Installation Manager Tool debe actualizarse a la versión 2.2.0

Estas versiones incluyen correcciones a las vulnerabilidades descritas anteriormente. Todas las versiones anteriores se consideran afectadas por estas vulnerabilidades a menos que se indique lo contrario.

REFERENCIAS

https://www.jenkins.io/security/advisory/2020-12-03/