ASA-2019-00101 – Jenkins: O plugin GitHub Authentication mostrava o segredo do cliente em texto puro no formulário de configuração


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00101

Identificador(es)

ASA-2019-00101, SECURITY-602, CVE-2019-1003018

Título

O plugin GitHub Authentication mostrava o segredo do cliente em texto puro no formulário de configuração

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

GitHub Authentication Plugin até e incluindo 0.29

Versão(ões) corrigida(s)

GitHub Authentication Plugin versão 0.31

Prova de conceito

Desconhecida

Descrição

O plugin GitHub Authentication armazena o segredo do cliente na configuração global do Jenkins.

Enquanto o segredo do cliente é armazenado criptografado em disco, ele foi transmitido em texto puro como parte do formulário de configuração e exibido sem mascarar. Isso pode resultar na exposição do segredo do cliente por meio de extensões de navegador, Cross-Site Scripting (XSS) e situações semelhantes.

O plugin GitHub Authentication agora criptografa o segredo do cliente transmitido aos administradores que visualizam o formulário de configuração de segurança global.

Detalhes técnicos

Desconhecido

Créditos

R. Tyler Croy (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/github-oauth

CVE-2019-1003018
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003018

CVE-2019-1003018
https://nvd.nist.gov/vuln/detail/CVE-2019-1003018

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.