ASA-2018-00089 – Jenkins: Possível negação de serviço através da validação de formulário de expressão cron


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00089

Identificador(es)

ASA-2018-00089, CVE-2018-1000864, SECURITY-1193

Título

Possível negação de serviço através da validação de formulário de expressão cron

Fabricante(s)

Jenkins project

Produto(s)

Jenkins (core)

Versão(ões) afetada(s)

Jenkins 2.153
Jenkins 2.138.3

Versão(ões) corrigida(s)

Jenkins 2.154
Jenkins LTS 2.138.4 ou 2.150.1

Prova de conceito

Desconhecida

Descrição

A validação de formulário para expressões cron (por exemplo, “Poll SCM”, “Build periodically”) poderia inserir loops infinitos quando expressões cron que correspondessem apenas a determinadas datas raras fossem inseridas, bloqueando o processamento de solicitações indefinidamente.

Detalhes técnicos

Desconhecido

Créditos

Denis Shvedchenko (Sphere Inc)

Referência(s)

Jenkins Security Advisory 2018-12-05
https://jenkins.io/security/advisory/2018-12-05/

CloudBees Security Advisory 2018-12-05
https://www.cloudbees.com/cloudbees-security-advisory-2018-12-05

[SECURITY-1193]
https://github.com/jenkinsci/jenkins/commit/73afa0ca786a87f05b5433e2e38f863826fcad17

CVE-2018-1000864
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000864

CVE-2018-1000864
https://nvd.nist.gov/vuln/detail/CVE-2018-1000864

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.