ASA-2019-00601 – Jenkins Dynatrace Application Monitoring Plugin: Credenciais armazenadas em texto puro


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00601

Identificador(es)

ASA-2019-00601, CVE-2019-10461, SECURITY-1477

Título

Credenciais armazenadas em texto puro

Fabricante(s)

Dynatrace Development Team

Dariusz Glugla

Piotr Lugowsk

Produto(s)

Jenkins Dynatrace Application Monitoring Plugin

Versão(ões) afetada(s)

Jenkins Dynatrace Application Monitoring Plugin versões anteriores à 2.1.4

Versão(ões) corrigida(s)

Jenkins Dynatrace Application Monitoring Plugin versão 2.1.4

Prova de conceito

Desconhecido

Descrição

O Dynatrace Application Monitoring Plugin armazena uma credencial não criptografada em seu arquivo de configuração global com.dynatrace.jenkins.dashboard.TAGlobalConfiguration.xml no Jenkins mestre. Essa credencial pode ser visualizada pelos usuários com acesso ao sistema de arquivo do mestre.

Detalhes técnicos

Desconhecido

Créditos

Viktor Gazdag (NCC Group)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1477

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/dynatrace-dashboard

Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18

Bugfix/august2019 (#18)
https://github.com/jenkinsci/dynatrace-plugin/commit/373adaa1161d59ccd4e5e3469a9b6aeec17968ae

Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18/commits/e6914f5e3cb1abf6ad5709726ec649d9629c662f

CVE-2019-10461
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10461

CVE-2019-10461
https://nvd.nist.gov/vuln/detail/CVE-2019-10461

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 novembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.