ASA-2018-00013 – Jenkins: Sandbox Bypass nos plugins Script Security e Pipeline Groovy

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00013

Identificador(es)

ASA-2018-00013, SECURITY-1186, CVE-2018-1000865, CVE-2018-1000866

Título

Sandbox Bypass nos plugins Script Security e Pipeline Groovy

Produto(s)

Jenkins Groovy Plugin

Jenkins Script Security Plugin

Versão(ões) afetada(s)

Pipeline: Groovy Plugin até e incluindo a versão 2.59
Script Security Plugin até e incluindo a versão 1.47

Versão(ões) corrigida(s)

Pipeline: Groovy Plugin deve ser atualizado para a versão 2.60
Script Security Plugin deve ser atualizado para a versão 1.48

Prova de conceito

Desconhecido

Descrição

A biblioteca Groovy Sandbox usada pelos plugins Script Security e Pipeline Groovy não aplicavam restrições de sandbox para finalizar métodos. Isto pode permitir que construtores e métodos arbitrários sejam executados e realizado o bypass da proteção da sandbox.

Finalizar métodos agora são proibidos em classes sujeitas a segurança da sandbox.

Scripts que executem em sandboxes podem começar a falhar devido a esse recurso da linguagem.

Referência(s)

Jenkins Security Advisory 2018-10-29
https://jenkins.io/security/advisory/2018-10-29/

Script sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2018/q4/106

Jenkins plugins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/0nJ6_xrVGSc

CVE-2018-1000865
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000865

CVE-2018-1000865
https://nvd.nist.gov/vuln/detail/CVE-2018-1000865

CVE-2018-1000866
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000866

CVE-2018-1000866
https://nvd.nist.gov/vuln/detail/CVE-2018-1000866


Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 de janeiro de 2019