ASA-2019-00005 – Jenkins: Bypass de Sandbox no Script Security e Pipeline Plugins


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00005

Identificador(es)

ASA-2019-00005, SECURITY-1266, CVE-2019-1003000, CVE-2019-1003001, CVE-2019-1003002

Título

Bypass de Sandbox no Script Security e Pipeline Plugins

Fabricante(s)

CloudBees

Produto(s)

Jenkins

Versão(ões) afetada(s)

Pipeline: Declarative Plugin até e incluindo 1.3.4
Pipeline: Groovy Plugin até e incluindo 2.61
Script Security Plugin até e incluindo 1.49

Versão(ões) corrigida(s)

Pipeline: Declarative Plugin 1.3.4.1
Pipeline: Groovy Plugin 2.61.1
Script Security Plugin 1.50

Prova de conceito

Desconhecida

Descrição

A proteção do sandbox do Script Security pode ser evitada durante a fase de compilação do script, aplicando-se as anotações de transformação do AST, como @Grab, aos elementos do código-fonte.

As APIs REST de validação do pipeline e a execução real do script/pipeline são afetadas.

Isso permitia aos usuários a permissão Overall/Read, ou era capaz de controlar o conteúdo da biblioteca compartilhada do Jenkinsfile ou do sandbox Pipeline no SCM, para ignorar a proteção do sandbox e executar código arbitrário no mestre do Jenkins.

Detalhes técnicos

Desconhecido

Créditos

Orange Tsai (DEVCORE)

Referência(s)

Jenkins Security Advisory 2019-01-08
https://jenkins.io/security/advisory/2019-01-08/

Sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2019/q1/31

CVE-2019-1003000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003000

CVE-2019-1003000
https://nvd.nist.gov/vuln/detail/CVE-2019-1003000

CVE-2019-1003001
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003001

CVE-2019-1003001
https://nvd.nist.gov/vuln/detail/CVE-2019-1003001

CVE-2019-1003002
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003002

CVE-2019-1003002
https://nvd.nist.gov/vuln/detail/CVE-2019-1003002


Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 de janeiro de 2019