ASA-2019-00007 – Jenkins: Os administradores podem manter o acesso ao Jenkins usando o cookie ‘Lembrar-me’ criado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00007

Identificador(es)

ASA-2019-00007, SECURITY-868, CVE-2019-1003003

Título

Os administradores podem manter o acesso ao Jenkins usando o cookie ‘Lembrar-me’ criado

Fabricante(s)

CloudBees

Produto(s)

Jenkins

Versão(ões) afetada(s)

Jenkins semanalmente até e incluindo 2.159
Jenkins LTS até e incluindo 2.150.1

Versão(ões) corrigida(s)

Jenkins semanal deve ser atualizado para a versão 2.160
Jenkins LTS deve ser atualizado para a versão 2.150.2

Prova de conceito

Desconhecida

Descrição

Os usuários com a permissão Overall/RunScripts (geralmente administradores) poderiam usar o console de script Jenkins para criar um cookie ‘Lembrar-me’ que nunca expiraria.

Isso permitiu que atacantes acessassem uma instância do Jenkins enquanto o usuário correspondente na região de segurança configurada existia, por exemplo, para manter o acesso após outro ataque bem-sucedido.

Detalhes técnicos

Desconhecido

Créditos

Apple Information Security

Referência(s)

Jenkins Security Advisory 2019-01-16
https://jenkins.io/security/advisory/2019-01-16/

Jenkins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/_jaWABHE2sg

Multiple vulnerabilities in Jenkins
https://seclists.org/oss-sec/2019/q1/70

CVE-2019-1003003
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003003

CVE-2019-1003003
https://nvd.nist.gov/vuln/detail/CVE-2019-1003003

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 janeiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.