For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00013
Identificador(es)
ASA-2018-00013, SECURITY-1186
Título
Sandbox Bypass nos plugins Script Security e Pipeline Groovy
Produto(s)
Jenkins Groovy Plugin
Jenkins Script Security Plugin
Versão(ões) afetada(s)
Pipeline: Groovy Plugin até e incluindo a versão 2.59
Script Security Plugin até e incluindo a versão 1.47
Versão(ões) corrigida(s)
Pipeline: Groovy Plugin deve ser atualizado para a versão 2.60
Script Security Plugin deve ser atualizado para a versão 1.48
Prova de conceito
Desconhecido
Descrição
A biblioteca Groovy Sandbox usada pelos plugins Script Security e Pipeline Groovy não aplicavam restrições de sandbox para finalizar métodos. Isto pode permitir que construtores e métodos arbitrários sejam executados e realizado o bypass da proteção da sandbox.
Finalizar métodos agora são proibidos em classes sujeitas a segurança da sandbox.
Scripts que executem em sandboxes podem começar a falhar devido a esse recurso da linguagem.
Referência(s)
Jenkins Security Advisory 2018-10-29
https://jenkins.io/security/advisory/2018-10-29/
Script sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2018/q4/106
Jenkins plugins security advisory
https://groups.google.com/forum/#!topic/jenkinsci-advisories/0nJ6_xrVGSc
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 7 de novembro de 2018