For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00088
Identificador(es)
ASA-2018-00088, CVE-2018-1000862, SECURITY-904
Título
Navegador de workspace permitido acessar arquivos fora do workspace
Fabricante(s)
Jenkins project
Produto(s)
Jenkins (core)
Versão(ões) afetada(s)
Jenkins 2.153
Jenkins 2.138.3
Versão(ões) corrigida(s)
Jenkins 2.154
Jenkins LTS 2.138.4 ou 2.150.1
Prova de conceito
Desconhecida
Descrição
O navegador de arquivos para workspaces, artefatos arquivados e $JENKINS_HOME/userContent/ seguiu os links simbólicos para locais fora do diretório que está sendo procurado.
Embora as compilações normalmente tenham acesso ao sistema de arquivos fora do workspace alocada pelo Jenkins, isso não deve se estender além da execução de uma compilação nesse agente. Notavelmente, a configuração pode ter sido alterada para não permitir que uma compilação seja executada em um determinado agente, mas a área de trabalho usada durante a execução anterior ainda existe e pode permitir a navegação no sistema de arquivos fora do workspace.
Detalhes técnicos
Desconhecido
Créditos
Apple Information Security
Referência(s)
Jenkins Security Advisory 2018-12-05
https://jenkins.io/security/advisory/2018-12-05/
CloudBees Security Advisory 2018-12-05
https://www.cloudbees.com/cloudbees-security-advisory-2018-12-05
[SECURITY-904]
https://github.com/jenkinsci/jenkins/commit/c19cc705688cfffa4fe735e0edbe84862b6c135f
CVE-2018-1000862
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000862
CVE-2018-1000862
https://nvd.nist.gov/vuln/detail/CVE-2018-1000862
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 6 março 2019