For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00013
Identificador(es)
ASA-2018-00013, SECURITY-1186, CVE-2018-1000865, CVE-2018-1000866
Título
Sandbox bypass nos plugins Script Security e Pipeline Groovy
Fabricante(s)
Jenkins project
Produto(s)
Plugin do Jenkins Pipeline: Groovy
Plugin do Jenkins Script Security
Versão(ões) afetada(s)
Pipeline: Groovy até e incluindo a versão 2.59
Script Security até e incluindo a versão 1.47
Versão(ões) corrigida(s)
Pipeline: Groovy versão 2.60
Script Security versão 1.48
Prova de conceito
Desconhecido
Descrição
A biblioteca Groovy Sandbox usada pelos plugins Script Security e Pipeline Groovy não aplicavam restrições de sandbox para finalizar métodos. Isto pode permitir que construtores e métodos arbitrários sejam executados e realizado o bypass da proteção da sandbox.
Finalizar métodos agora são proibidos em classes sujeitas a segurança da sandbox.
Scripts que executem em sandboxes podem começar a falhar devido a esse recurso da linguagem.
Créditos
Man Yue Mo (Semmle Security Research Team)
Referência(s)
Jenkins Security Advisory 2018-10-29
https://jenkins.io/security/advisory/2018-10-29/
CloudBees Security Advisory 2018-10-29
https://www.cloudbees.com/cloudbees-security-advisory-2018-10-29
Script sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2018/q4/106
Jenkins plugins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/0nJ6_xrVGSc
Jenkins Plugins – Script Security
https://plugins.jenkins.io/script-security
Jenkins Plugins – Pipeline: Groovy
https://plugins.jenkins.io/workflow-cps
[SECURITY-1186] Forbid sandboxed classes from overriding finalize.
https://github.com/jenkinsci/groovy-sandbox/commit/0cd7ec12b7c56cfa3167d99c5f43147ce05449d3
CVE-2018-1000865
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000865
CVE-2018-1000865
https://nvd.nist.gov/vuln/detail/CVE-2018-1000865
CVE-2018-1000866
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000866
CVE-2018-1000866
https://nvd.nist.gov/vuln/detail/CVE-2018-1000866
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 6 março 2019