ASA-2018-00086 – Jenkins: Execução de código por meio de URLs criadas


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00086

Identificador(es)

ASA-2018-00086, CVE-2018-1000861, SECURITY-595

Título

Execução de código por meio de URLs criados

Fabricante(s)

Jenkins project

Produto(s)

Jenkins (core)

Versão(ões) afetada(s)

Jenkins 2.153
Jenkins 2.138.3

Versão(ões) corrigida(s)

Jenkins 2.154
Jenkins LTS 2.138.4 ou 2.150.1

Prova de conceito

Desconhecida

Descrição

O Jenkins usa o framework da web Stapler para o tratamento de requisições HTTP. A premissa básica do Stapler é que ele usa o acesso reflexivo aos elementos de código correspondentes às convenções de nomenclatura. Por exemplo, qualquer método público cujo nome comece com get e que tenha um argumento String, int, long ou sem argumento pode ser invocado dessa maneira em objetos acessíveis por esses meios. Como essas convenções de nomenclatura são muito semelhantes aos padrões de código comuns em Java, o acesso a URLs criados poderia invocar métodos que nunca deveriam ser invocados dessa maneira.

Detalhes técnicos

Desconhecido

Créditos

Daniel Beck (CloudBees, Inc), Jesse Glick (CloudBees Inc), Wadeck Follonier (CloudBees, Inc), Apple Information Security, Evan Grant (Tenable) e Orange Tsai (DEVCORE)

Referência(s)

Jenkins Security Advisory 2018-12-05
https://jenkins.io/security/advisory/2018-12-05/

CloudBees Security Advisory 2018-12-05
https://www.cloudbees.com/cloudbees-security-advisory-2018-12-05

[SECURITY-595] Further whitelist additions
https://github.com/jenkinsci/jenkins/commit/76e0e69e91b85dd72f8fac53d547dcdc4ff1d90c

[SECURITY-595]
https://github.com/jenkinsci/jenkins/commit/47f38d714c99e1841fb737ad1005618eb26ed852

CVE-2018-1000861
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000861

CVE-2018-1000861
https://nvd.nist.gov/vuln/detail/CVE-2018-1000861

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 março 2019