For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00086
Identificador(es)
ASA-2018-00086, CVE-2018-1000861, SECURITY-595
Título
Execução de código por meio de URLs criados
Fabricante(s)
Jenkins project
Produto(s)
Jenkins (core)
Versão(ões) afetada(s)
Jenkins 2.153
Jenkins 2.138.3
Versão(ões) corrigida(s)
Jenkins 2.154
Jenkins LTS 2.138.4 ou 2.150.1
Prova de conceito
Desconhecida
Descrição
O Jenkins usa o framework da web Stapler para o tratamento de requisições HTTP. A premissa básica do Stapler é que ele usa o acesso reflexivo aos elementos de código correspondentes às convenções de nomenclatura. Por exemplo, qualquer método público cujo nome comece com get e que tenha um argumento String, int, long ou sem argumento pode ser invocado dessa maneira em objetos acessíveis por esses meios. Como essas convenções de nomenclatura são muito semelhantes aos padrões de código comuns em Java, o acesso a URLs criados poderia invocar métodos que nunca deveriam ser invocados dessa maneira.
Detalhes técnicos
Desconhecido
Créditos
Daniel Beck (CloudBees, Inc), Jesse Glick (CloudBees Inc), Wadeck Follonier (CloudBees, Inc), Apple Information Security, Evan Grant (Tenable) e Orange Tsai (DEVCORE)
Referência(s)
Jenkins Security Advisory 2018-12-05
https://jenkins.io/security/advisory/2018-12-05/
CloudBees Security Advisory 2018-12-05
https://www.cloudbees.com/cloudbees-security-advisory-2018-12-05
[SECURITY-595] Further whitelist additions
https://github.com/jenkinsci/jenkins/commit/76e0e69e91b85dd72f8fac53d547dcdc4ff1d90c
[SECURITY-595]
https://github.com/jenkinsci/jenkins/commit/47f38d714c99e1841fb737ad1005618eb26ed852
CVE-2018-1000861
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000861
CVE-2018-1000861
https://nvd.nist.gov/vuln/detail/CVE-2018-1000861
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 6 março 2019