-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [26-01-2024]: Vulnerabilidades no Jenkins Core e Plugins Prezados(as), O CAIS alerta a comunidade de segurança cibernética para vulnerabilidades críticas divulgadas pela mantenedora do Jenkins em seu boletim de segurança. Atualizações estão disponíveis para corrigir essas falhas, que impactam desde o Jenkins Core até os plugins utilizados pela aplicação. Destacamos o CVE-2024-23897, com uma pontuação CVSS de 9.8, permitindo a execução remota de código arbitrário (RCE). Até a última revisão deste alerta, não foram identificados códigos capazes de explorar estas vulnerabilidades. O Jenkins é uma ferramenta de código aberto e tem o objetivo de automatizar diversas etapas do desenvolvimento de software. Ele abrange desde a execução de testes até a implantação das atualizações. 1) Produto(s) e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição da vulnerabilidade; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produto e versões afetadas: Produto: Jenkins Core Versões: Anteriores a 2.441 e LTS 2.426.2 2) Identificadores CVE (http://cve.mitre.org): CVE-2024-23897 3) Descrição da vulnerabilidade: O Jenkins (Core) possui uma vulnerabilidade de segurança relacionada à sua interface de linha de comando (CLI). O software utiliza a biblioteca args4j para analisar argumentos e opções de comando no controlador Jenkins ao processar comandos CLI. O analisador de comandos possui um recurso que, quando habilitado (configuração padrão até a versão Jenkins 2.441 e LTS 2.426.2), substitui um caractere "@" seguido por um caminho de arquivo em um argumento pelo conteúdo do arquivo(expandAtFiles). Esta vulnerabilidade possibilita que agentes maliciosos explorem a capacidade de leitura de arquivos, utilizando a codificação de caracteres padrão do processo do controlador Jenkins, possibilitando a execução remota de código arbitrário (RCE). 4) Mitigação e correções disponíveis: A equipe de desenvolvimento do Jenkins já disponibilizou atualizações para corrigir esse problema. Para obter mais detalhes e aplicar as correções necessárias, consulte: https://www.jenkins.io/security/advisory/2024-01-24/ 5) Mais informações: https://www.jenkins.io/security/advisory/2024-01-24/ https://socradar.io/critical-jenkins-cli-file-read-vulnerability-could-lead-to-rce-attacks-cve-2024-23897/ https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmWzobQACgkQ1Per/VOa V4BgHQ/+In9wA2sxCvDEgR/IpXkMfznAWZCV7/ckIEGyqjW44eXYn4CtE7huhWGb v5kd/tAH5prd9rUTInHNDkqEvqzSsHCdN+NDZMeoIerModVR3fFzxr6V/5/tFniY bvzBotqcRiGvi0yUuoEV0u7y5boPTayOUaBlYyAkDHl2Z+VgM7MP4w8bu4fYo9hf xs0nhA4zuUcni63CRB6NCvHNubm5eRxKKONu15hcm517JErRSlSCJCZYpZSUqXmr MuX0QbdFkoKGO7rFc8hLTdz44PJ8I0gVVwC3PKaO9UhiNVRkao85zq5UJ2EU3sfD 4GpueqLslgncymYY9vPSW+vNfb3gCQpWNpsn8yLEXU6KZlyEGz6KEOq5BuAW8VFK T7/OT/hBcT49shexQZR4SIlv6SDeDVViix8MCTe49DoWmtbUgcRmv1MifP1M614c eBFm7Ozu6i5Ez3Hh9lPFStze0mbXedX5vzq/yaTWNqY3+7EB0XO9B8bw1XZ+uTfd ioQe3mP22i7zUEONO5WZKysm50bLtIOU3NBwVOszarC65l7UGcHHdiFQOVMVfWCP 5BtRC+sO08wdZuAYMduGNOPDbQftPYJS0CN9US8u+D5iQtRnGggQKMmEQtyqbe0E KGOLknpa7WJrwHWridHlTdWU9FpGz66CNd4rjL6EPf8SlvI8wNU=