ASA-2019-00008 – Jenkins: A exclusão de um usuário em uma região de segurança externa não invalida a sessão ou o cookie “Lembrar-me”


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00008

Identificador(es)

ASA-2019-00008, SECURITY-901, CVE-2019-1003004

Título

A exclusão de um usuário em uma região de segurança externa não invalida a sessão ou o cookie “Lembrar-me”

Fabricante(s)

CloudBees

Produto(s)

Jenkins

Versão(ões) afetada(s)

Jenkins semanalmente até e incluindo 2.159
Jenkins LTS até e incluindo 2.150.1

Versão(ões) corrigida(s)

Jenkins semanal deve ser atualizado para a versão 2.160
Jenkins LTS deve ser atualizado para a versão 2.150.2

Prova de conceito

Desconhecida

Descrição

Ao usar um domínio de segurança externo, como o LDAP ou o Active Directory, a exclusão de um usuário do domínio de segurança não faz com que o usuário perca o acesso ao Jenkins.

Embora a exclusão do registro do usuário do Jenkins invalidasse o cookie “Lembrar-me”, não havia como invalidar as sessões ativas além de reiniciar o Jenkins ou encerrar as sessões por outros meios, como o Plug-in de Monitoramento.

Detalhes técnicos

Desconhecido

Créditos

Nimrod Stoler (CyberArk Labs)

Referência(s)

Jenkins Security Advisory 2019-01-16
https://jenkins.io/security/advisory/2019-01-16/

Jenkins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/_jaWABHE2sg

Multiple vulnerabilities in Jenkins
https://seclists.org/oss-sec/2019/q1/70

CVE-2019-1003004
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003004

CVE-2019-1003004
https://nvd.nist.gov/vuln/detail/CVE-2019-1003004

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 janeiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.