30 enero, 2024

9VSA24-00967-01 CSIRT alerta de nueva vulnerabilidad crítica en Jenkins

Resumen

El CSIRT de Gobierno comparte información de una vulnerabilidad crítica que afecta a Jenkins y para la cual un parche ya fue publicado por el proveedor.

Vulnerabilidades

CVE-2024-23897

CVE-2024-23899

CVE-2024-23900

CVE-2024-23901

CVE-2024-23902

CVE-2024-23903

CVE-2024-23904

CVE-2024-23905

CVE-2023-6148

CVE-2023-6147

Impacto

Vulnerabilidades de riesgo crítico:

CVE-2024-23897: Vulnerabilidad en Jenkins y LTS que permite la ejecución remota de código por parte de atacantes no autenticados.

Mitigación

Jenkins weekly debe ser actualizado a la versión 2.442

Jenkins LTS debe ser actualizado a la versión 2.426.3

Git server Plugin debe ser actualizado a la versión 99.101.v720e86326c09

GitLab Branch Source Plugin debe ser actualizado a la versión 688.v5fa_356ee8520

Matrix Project Plugin debe ser actualizado a la versión 822.824.v14451b_c0fd42

Qualys Policy Compliance Scanning Connector Plugin debe ser actualizado a la versión 1.0.6

Red Hat Dependency Analytics Plugin debe ser actualizado a la versión 0.9.0

Centro de descargas de Jenkins: https://www.jenkins.io/download/

Productos afectados

Jenkins weekly 2.441 y anteriores.

LTS 2.426.2 y anteriores.

Git server Plugin hasta e incluyendo 99.va_0826a_b_cdfa_d

GitLab Branch Source Plugin hasta e incluyendo 684.vea_fa_7c1e2fe3

Log Command Plugin hasta e incluyendo 1.0.2

Matrix Project Plugin hasta e incluyendo 822.v01b_8c85d16d2

Qualys Policy Compliance Scanning Connector Plugin hasta e incluyendo 1.0.5

Red Hat Dependency Analytics Plugin hasta e incluyendo 0.7.1

Enlaces

https://www.jenkins.io/security/advisory/2024-01-24/

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00967-01.

9VSA24-00967-01 CSIRT alerta de nueva vulnerabilidad crítica en Jenkins