ASA-2018-00089 – Jenkins: Possível negação de serviço através da validação de formulário de expressão cron


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00089

Identificador(es)

ASA-2018-00089, CVE-2018-1000864, SECURITY-1193

Título

Possível negação de serviço através da validação de formulário de expressão cron

Fabricante(s)

CloudBees Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Jenkins 2.153
Jenkins 2.138.3

Versão(ões) corrigida(s)

Jenkins 2.154
Jenkins LTS 2.138.4 ou 2.150.1

Prova de conceito

Desconhecida

Descrição

A validação de formulário para expressões cron (por exemplo, “Poll SCM”, “Build periodically”) poderia inserir loops infinitos quando expressões cron que correspondessem apenas a determinadas datas raras fossem inseridas, bloqueando o processamento de solicitações indefinidamente.

Detalhes técnicos

Desconhecido

Créditos

Denis Shvedchenko (Sphere Inc)

Referência(s)

Jenkins Security Advisory 2018-12-05
https://jenkins.io/security/advisory/2018-12-05/

CVE-2018-1000864
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000864

CVE-2018-1000864
https://nvd.nist.gov/vuln/detail/CVE-2018-1000864

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 de dezembro de 2018