BDU:2019-02959: Уязвимость компонента TokenBasedRememberMeServices2.java (core/src/main/java/hudson/security/TokenBasedRememberMeServices2.java) сервера автоматизации Jenkins, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость компонента TokenBasedRememberMeServices2.java (core/src/main/java/hudson/security/TokenBasedRememberMeServices2.java) сервера автоматизации Jenkins связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации с помощью специально созданной функции сохранения информации о сеансе «Запомнить меня»
Вендор Косукэ Кавагути, Red Hat Inc.
Наименование ПО Jenkins, OpenShift Container Platform
Версия ПО
  • до 2.158 включительно (Jenkins)
  • до 2.150.1 LTS включительно (Jenkins)
  • 3.11 (OpenShift Container Platform)
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Неверный срок действия сеанса
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 16.01.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jenkins:
https://jenkins.io/security/advisory/2019-01-16/#SECURITY-868

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHBA-2019:0327
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения