Actualizado Jenkins para corregir una vulnerabilidad RCE

Los desarrolladores de la popular herramienta de automatización de tareas Jenkins, mantenida por CloudBees y los usuarios de la comunidad, han tenido que sacar un parche urgente para taponar una vulnerabilidad que permite la ejecución remota de código.

Esta herramienta sirve a los desarrolladores de aplicaciones para probar y construir sus creaciones. Con más de 133000 instalaciones activas y un millón de usuarios a nivel mundial, se trata de un problema grave. Por eso es urgente actualizar el software.

Vulnerabilidades corregidas en Jenkins

Se han solucionado varias vulnerabilidades además de la de tipo RCE comentada. Aunque sin duda es esta la más grave, materializándose debido a un problema en la «deserialización de Java». Un atacante sin autentificar podría enviar código arbitrario a un sistema, simplemente habiendo enviado al servidor Jenkins dos solicitudes malformadas.

CVE-2017-1000353 y otros problemas

Una vulnerabilidad de tipo Remore Code Execution (RCE) permite a los hackers enviar un objeto serializado SignedObject de Java a los terminales de comandos remotos. El objeto sería de-serializado (ojo que palabra) utilizando un nuevo ObjectInputStream, saltándose el mecanismo de protección mediante lista negra.

Los responsables de la aplicación han añadido «signedObject» a la blacklist remota como consecuencia de este problema. Además, se han liberado las versiones 2.57 y 2.46.2 (LTS o Long Time Support) para resolver el fallo.

También se han corregido otros problemas de seguridad, como algunas vulnerabilidades de tipo CSRF (cross site request forgery), que también podrían causar daños como, por ejemplo, reiniciar los servicios o instalar plugins.

Finalmente, las actualizaciones han taponado otro fallo que permitiría suplantar la identidad de un usuario de Jenkins y que se ha recogido en SECURITY-466 / CVE-2017-1000354, además de un problema en XStream que causaría el bloqueo de Java al intentar instanciar void/Void (CVE-2017-1000355).