SK-CERT Bezpečnostné varovanie V20181218-02

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.8
Identifikátor
Jenkins Stapler Web Framework zraniteľnosť
Popis
Vývojári nástroja Jenkins Stapler vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje bezpečnostnú zraniteľnosť.
Bezpečnostná zraniteľnosť spočíva nesprávnom spracovaní HTTP požiadaviek funkciou „stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java“ a umožňuje vzdialenému neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne upravených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
05.12.2018
CVE
CVE-2018-1000861
Zasiahnuté systémy
Jenkins Stapler verzie staršie ako 2.154, 2.138.4, a 2.150.1
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Odporúčame uistiť sa, či Vaše webové aplikácie nie sú založené na frameworku Jenkins Stapler v zraniteľných verziách. V prípade, že áno, zabezpečte aktualizáciu frameworku.
Zdroje
https://jenkins.io/security/advisory/2018-12-05/
https://tools.cisco.com/security/center/viewAlert.x?alertId=59336

« Späť na zoznam