ASA-2019-00008 – Jenkins: A exclusão de um usuário em uma região de segurança externa não invalida a sessão ou o cookie “Lembrar-me”

Ao usar um domínio de segurança externo, como o LDAP ou o Active Directory, a exclusão de um usuário do domínio de segurança não faz com que o usuário perca o acesso ao Jenkins. Embora a exclusão do registro do usuário do Jenkins invalidasse o cookie "Lembrar-me", não havia como invalidar as sessões ativas além de reiniciar o Jenkins ou encerrar as sessões por outros meios, como o Plug-in de Monitoramento.

ASA-2019-00007 – Jenkins: Os administradores podem manter o acesso ao Jenkins usando o cookie ‘Lembrar-me’ criado

Os usuários com a permissão Overall/RunScripts (geralmente administradores) poderiam usar o console de script Jenkins para criar um cookie 'Lembrar-me' que nunca expiraria. Isso permitiu que atacantes acessassem uma instância do Jenkins enquanto o usuário correspondente na região de segurança configurada existia, por exemplo, para manter o acesso após outro ataque bem-sucedido.