ASA-2019-00007 – Jenkins: Os administradores podem manter o acesso ao Jenkins usando o cookie ‘Lembrar-me’ criado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00007

Identificador(es)

ASA-2019-00007, SECURITY-868, CVE-2019-1003003

Título

Os administradores podem manter o acesso ao Jenkins usando o cookie ‘Lembrar-me’ criado

Fabricante(s)

CloudBees

Produto(s)

Jenkins

Versão(ões) afetada(s)

Jenkins semanalmente até e incluindo 2.159
Jenkins LTS até e incluindo 2.150.1

Versão(ões) corrigida(s)

Jenkins semanal deve ser atualizado para a versão 2.160
Jenkins LTS deve ser atualizado para a versão 2.150.2

Prova de conceito

Desconhecida

Descrição

Os usuários com a permissão Overall/RunScripts (geralmente administradores) poderiam usar o console de script Jenkins para criar um cookie ‘Lembrar-me’ que nunca expiraria.

Isso permitiu que atacantes acessassem uma instância do Jenkins enquanto o usuário correspondente na região de segurança configurada existia, por exemplo, para manter o acesso após outro ataque bem-sucedido.

Detalhes técnicos

Desconhecido

Créditos

Apple Information Security

Referência(s)

Jenkins Security Advisory 2019-01-16
https://jenkins.io/security/advisory/2019-01-16/

Jenkins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/_jaWABHE2sg

Multiple vulnerabilities in Jenkins
https://seclists.org/oss-sec/2019/q1/70

CVE-2019-1003003
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003003

CVE-2019-1003003
https://nvd.nist.gov/vuln/detail/CVE-2019-1003003

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 janeiro 2019