ASA-2019-00607 – Jenkins Sonar Gerrit Plugin: Credenciais armazenadas em texto puro


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00607

Identificador(es)

ASA-2019-00607, CVE-2019-10467, SECURITY-1003

Título

Credenciais armazenadas em texto puro

Fabricante(s)

Tatiana Didik (Goretskaya)

Aleksey Didik

Produto(s)

Jenkins Sonar Gerrit Plugin

Versão(ões) afetada(s)

Jenkins Sonar Gerrit Plugin versões até e incluindo 2.3

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Desconhecido

Descrição

Credencial não criptografada nos arquivos config.xml da tarefa no mestre Jenkins se a opção ‘Substituir credenciais’ for usada. Essa credencial pode ser visualizada por usuários com permissão de Leitura Estendida ou acesso ao sistema de arquivos mestre.

Detalhes técnicos

Desconhecido

Créditos

Oleg Nenashev (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1003

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/sonar-gerrit

CVE-2019-10467
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10467

CVE-2019-10467
https://nvd.nist.gov/vuln/detail/CVE-2019-10467

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.