For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00601
Identificador(es)
ASA-2019-00601, CVE-2019-10461, SECURITY-1477
Título
Credenciais armazenadas em texto puro
Fabricante(s)
Dynatrace Development Team
Dariusz Glugla
Piotr Lugowsk
Produto(s)
Jenkins Dynatrace Application Monitoring Plugin
Versão(ões) afetada(s)
Jenkins Dynatrace Application Monitoring Plugin versões anteriores à 2.1.4
Versão(ões) corrigida(s)
Jenkins Dynatrace Application Monitoring Plugin versão 2.1.4
Prova de conceito
Desconhecido
Descrição
O Dynatrace Application Monitoring Plugin armazena uma credencial não criptografada em seu arquivo de configuração global com.dynatrace.jenkins.dashboard.TAGlobalConfiguration.xml no Jenkins mestre. Essa credencial pode ser visualizada pelos usuários com acesso ao sistema de arquivo do mestre.
Detalhes técnicos
Desconhecido
Créditos
Viktor Gazdag (NCC Group)
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1477
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Jenkins Plugins
https://plugins.jenkins.io/dynatrace-dashboard
Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18
Bugfix/august2019 (#18)
https://github.com/jenkinsci/dynatrace-plugin/commit/373adaa1161d59ccd4e5e3469a9b6aeec17968ae
Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18/commits/e6914f5e3cb1abf6ad5709726ec649d9629c662f
CVE-2019-10461
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10461
CVE-2019-10461
https://nvd.nist.gov/vuln/detail/CVE-2019-10461
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 novembro 2019