For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00088
Identificador(es)
ASA-2018-00088, CVE-2018-1000862, SECURITY-904
Título
Navegador de workspace permitido acessar arquivos fora do workspace
Fabricante(s)
CloudBees Inc
Produto(s)
Jenkins
Versão(ões) afetada(s)
Jenkins 2.153
Jenkins 2.138.3
Versão(ões) corrigida(s)
Jenkins 2.154
Jenkins LTS 2.138.4 ou 2.150.1
Prova de conceito
Desconhecida
Descrição
O navegador de arquivos para workspaces, artefatos arquivados e $JENKINS_HOME/userContent/ seguiu os links simbólicos para locais fora do diretório que está sendo procurado.
Embora as compilações normalmente tenham acesso ao sistema de arquivos fora da área de trabalho alocada pelo Jenkins, isso não deve se estender além da execução de uma compilação nesse agente. Notavelmente, a configuração pode ter sido alterada para não permitir que uma compilação seja executada em um determinado agente, mas a área de trabalho usada durante a execução anterior ainda existe e pode permitir a navegação no sistema de arquivos fora da área de trabalho.
Detalhes técnicos
Desconhecido
Créditos
Apple Information Security
Referência(s)
Jenkins Security Advisory 2018-12-05
https://jenkins.io/security/advisory/2018-12-05/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000862
CVE-2018-1000862
https://nvd.nist.gov/vuln/detail/CVE-2018-1000862
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 18 de dezembro de 2018