ASA-2019-00005 – Jenkins: Bypass de Sandbox nos plugins Script Security e Pipeline


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00005

Identificador(es)

ASA-2019-00005, SECURITY-1266, CVE-2019-1003000, CVE-2019-1003001, CVE-2019-1003002

Título

Bypass de Sandbox nos plugins Script Security e Pipeline

Fabricante(s)

Jenkins project

Produto(s)

Plugin do Jenkins Pipeline: Declarative
Plugin do Jenkins Pipeline: Groovy
Plugin do Jenkins Script Security

Versão(ões) afetada(s)

Pipeline: Declarative até e incluindo 1.3.4
Pipeline: Groovy até e incluindo 2.61
Script Security até e incluindo 1.49

Versão(ões) corrigida(s)

Pipeline: Declarative versão 1.3.4.1
Pipeline: Groovy versão 2.61.1
Script Security versão 1.50

Prova de conceito

Sim

Descrição

A proteção do sandbox do Script Security pode ser evitada durante a fase de compilação do script, aplicando-se as anotações de transformação do AST, como @Grab, aos elementos do código-fonte.

As APIs REST de validação do pipeline e a execução real do script/pipeline são afetadas.

Isso permitia aos usuários a permissão Overall/Read, ou era capaz de controlar o conteúdo da biblioteca compartilhada do Jenkinsfile ou do sandbox Pipeline no SCM, para ignorar a proteção do sandbox e executar código arbitrário no mestre do Jenkins.

Detalhes técnicos

Desconhecido

Créditos

Orange Tsai (DEVCORE)

Referência(s)

Jenkins Security Advisory 2019-01-08
https://jenkins.io/security/advisory/2019-01-08/

CloudBees Security Advisory 2019-01-08
https://www.cloudbees.com/cloudbees-security-advisory-2019-01-08

Sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2019/q1/31

Jenkins RCE PoC. From unauthenticated user to remote code execution – it’s a hacker’s dream! (Chaining CVE-2019-1003000, CVE-2018-1999002, and more)
https://github.com/petercunha/Jenkins-PreAuth-RCE-PoC

[SECURITY-1266] Don’t execute AST transforms in validate/translate
https://github.com/jenkinsci/pipeline-model-definition-plugin/commit/083abd96e68fd89f556a0cd53db5f878dbf09b92

[SECURITY-1266] Block problematic AST transforms from sandbox
https://github.com/jenkinsci/script-security-plugin/commit/2c5122e50742dd16492f9424992deb21cc07837c

CVE-2019-1003000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003000

CVE-2019-1003000
https://nvd.nist.gov/vuln/detail/CVE-2019-1003000

CVE-2019-1003001
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003001

CVE-2019-1003001
https://nvd.nist.gov/vuln/detail/CVE-2019-1003001

CVE-2019-1003002
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003002

CVE-2019-1003002
https://nvd.nist.gov/vuln/detail/CVE-2019-1003002

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 março 2019