Jenkins, el servidor de automatización de código abierto, ha publicado una alerta de seguridad referente a una serie de vulnerabilidades encontradas en algunos de los plugins más populares tanto en WordPress como en el propio Jenkins Project. La alerta de seguridad informática también hace referencia a las correcciones ya disponibles para estas fallas críticas.

Algunos de los plugins afectados
cuentan con hasta 25 mil instalaciones activas, según reporta Wadeck Follonier,
de Jenkins Project. Los
plugins afectados incluyen:

  • Jenkins
    Amazon EC2
  • Gitlab
    Hook
  • Health
    Advisor, by CloudBees
  • Redgate
    SQL Change Automation
  • Robot
    Framework
  • Sounds
    Plugin

“Cualquier versión de estos
plugins se considerará afectada por las vulnerabilidades detectadas, a menos de
que en adelante se especifique lo contrario”, menciona la alerta de
seguridad informática, publicada este 15 de enero. “Se recomienda a los
usuarios de estos plugins actualizar a la última versión disponible para
mitigar el riesgo de explotación”.

En cuanto a las vulnerabilidades,
éstas varían en cuanto a su tipo y gravedad. Uno de los reportes más notables
se refiere a una falla de entidad externa XML (XXE) en Robot Framework Plugin,
una herramienta para la automatización de procesos con casi 10 mil instalaciones
activas. De ser explotada, esta vulnerabilidad permitiría a un actor de
amenazas falsificar solicitudes del lado del servidor o incluso lanzar ataques
de denegación
de servicio
(DoS). La falla fue identificada como CVE-2020-2092, y es
considerada de seriedad crítica.

“Trataremos de corregir
todas las vulnerabilidades encontradas a la brevedad”, menciona el mensaje
publicado en el sitio web de Jenkins. No obstante, especialistas en seguridad
informática del Instituto Internacional de Seguridad Cibernética (IICS) aseguran
que, debido a la estructura de Jenkins Project, basado en la autonomía de los
desarrolladores y la gran cantidad de plugins, esta es una tarea que demorará
demasiado tiempo, sin mencionar la posible aparición de nuevas
vulnerabilidades.

Para este proceso de corrección,
si se detecta que un plugin es vulnerable, Jenkins Project contacta a sus
mantenedores y solicita una corrección. En caso de que no existan soluciones
disponibles, se publica una alerta de seguridad informática y se informa sobre
posibles soluciones alternativas. En caso de que la vulnerabilidad sea de
gravedad altamente seria, el plugin es eliminado de Jenkins Project. La lista
completa de vulnerabilidades encontradas se encuentra en el sitio oficial de
Jenkins.





Source link

Write a comment:
*

Your email address will not be published.