ASA-2018-00013 – Jenkins: Sandbox Bypass nos plugins Script Security e Pipeline Groovy

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00013

Identificador(es)

ASA-2018-00013, SECURITY-1186, CVE-2018-1000865, CVE-2018-1000866

Título

Sandbox bypass nos plugins Script Security e Pipeline Groovy

Fabricante(s)

Jenkins project

Produto(s)

Plugin do Jenkins Pipeline: Groovy
Plugin do Jenkins Script Security

Versão(ões) afetada(s)

Pipeline: Groovy até e incluindo a versão 2.59
Script Security até e incluindo a versão 1.47

Versão(ões) corrigida(s)

Pipeline: Groovy versão 2.60
Script Security versão 1.48

Prova de conceito

Desconhecido

Descrição

A biblioteca Groovy Sandbox usada pelos plugins Script Security e Pipeline Groovy não aplicavam restrições de sandbox para finalizar métodos. Isto pode permitir que construtores e métodos arbitrários sejam executados e realizado o bypass da proteção da sandbox.

Finalizar métodos agora são proibidos em classes sujeitas a segurança da sandbox.

Scripts que executem em sandboxes podem começar a falhar devido a esse recurso da linguagem.

Créditos

Man Yue Mo (Semmle Security Research Team)

Referência(s)

Jenkins Security Advisory 2018-10-29
https://jenkins.io/security/advisory/2018-10-29/

CloudBees Security Advisory 2018-10-29
https://www.cloudbees.com/cloudbees-security-advisory-2018-10-29

Script sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2018/q4/106

Jenkins plugins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/0nJ6_xrVGSc

Jenkins Plugins – Script Security
https://plugins.jenkins.io/script-security

Jenkins Plugins – Pipeline: Groovy
https://plugins.jenkins.io/workflow-cps

[SECURITY-1186] Forbid sandboxed classes from overriding finalize.
https://github.com/jenkinsci/groovy-sandbox/commit/0cd7ec12b7c56cfa3167d99c5f43147ce05449d3

CVE-2018-1000865
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000865

CVE-2018-1000865
https://nvd.nist.gov/vuln/detail/CVE-2018-1000865

CVE-2018-1000866
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000866

CVE-2018-1000866
https://nvd.nist.gov/vuln/detail/CVE-2018-1000866

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.