ASA-2019-00092 – Jenkins: Validação de certificado incorreta com StartTLS no plugin Active Directory


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00092

Identificador(es)

ASA-2019-00092, SECURITY-859, CVE-2019-1003009

Título

Validação de certificado incorreta com StartTLS no plugin Active Directory

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Active Directory Plugin até e incluindo 2.10

Versão(ões) corrigida(s)

Active Directory Plugin versão 2.11

Prova de conceito

Desconhecida

Descrição

O plugin do Active Directory executa a atualização de TLS (StartTLS) após conectar-se aos controladores de domínio por meio de LDAP inseguro. Neste modo, os certificados não foram devidamente validados, confiando efetivamente em todos os certificados, permitindo ataques man-in-the-middle.

Isso afetou apenas as atualizações do TLS. O modo LDAPS, disponível definindo a propriedade do sistema hudson.plugins.active_directory.ActiveDirectorySecurityRealm.f
orceLdaps como true, não foi afetado.

Detalhes técnicos

Desconhecido

Créditos

Chris Jacobs (Comscore, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28/

Jenkins Plugins
https://plugins.jenkins.io/active-directory

CVE-2019-1003009
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003009

CVE-2019-1003009
https://nvd.nist.gov/vuln/detail/CVE-2019-1003009

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019