CVE-2020-2100

Versões 2.218 e anteriores do Jenkins

Versões LTS 2.204.1 e anteriores do Jenkins

A vulnerabilidade permite um ataque de negação de serviço por amplificação e reflexão UDP na porta 33848. Isso pode ser explorado enviando um pacote UDP especialmente criado, o que pode fazer com que o servidor Jenkins gere um ciclo infinito de respostas até que seja reiniciado. O serviço de multicast/broadcast UDP, habilitado por padrão nas versões afetadas, pode ser usado em um ataque de amplificação por reflexão, resultando em respostas muito maiores do que a solicitação inicial. Isso poderia ser usado em um ataque DDoS contra um controlador Jenkins. Dentro da mesma rede, pacotes UDP falsificados também poderiam ser enviados para fazer com que dois controladores Jenkins entrassem em um loop infinito de respostas entre si, causando assim uma negação de serviço.

Para as versões 2.218 e anteriores do Jenkins, considere atualizar para a versão 2.219 ou posterior, ou para a versão LTS 2.204.2 ou posterior, que desativa o multicast/broadcast UDP e o multicast DNS por padrão.

Para administradores que precisam desses recursos, reative-os definindo a propriedade do sistema hudson.DNSMultiCast.disabled como false (para multicast DNS) ou a propriedade do sistema hudson.udp como 33848, ou outra porta (para broadcast/multicast UDP), após atualizar para uma versão não vulnerável.

Como solução alternativa temporária, considere desativar o serviço de multicast/broadcast UDP definindo a propriedade do sistema hudson.udp para uma porta diferente de 33848, ou