ASA-2019-00005 – Jenkins: Bypass de Sandbox nos plugins Script Security e Pipeline


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00005

Identificador(es)

ASA-2019-00005, SECURITY-1266, CVE-2019-1003000, CVE-2019-1003001, CVE-2019-1003002

Título

Bypass de Sandbox nos plugins Script Security e Pipeline

Fabricante(s)

Jenkins project

Produto(s)

Plugin do Jenkins Pipeline: Declarative
Plugin do Jenkins Pipeline: Groovy
Plugin do Jenkins Script Security

Versão(ões) afetada(s)

Pipeline: Declarative até e incluindo 1.3.4
Pipeline: Groovy até e incluindo 2.61
Script Security até e incluindo 1.49

Versão(ões) corrigida(s)

Pipeline: Declarative versão 1.3.4.1
Pipeline: Groovy versão 2.61.1
Script Security versão 1.50

Prova de conceito

Sim

Descrição

A proteção do sandbox do Script Security pode ser evitada durante a fase de compilação do script, aplicando-se as anotações de transformação do AST, como @Grab, aos elementos do código-fonte.

As APIs REST de validação do pipeline e a execução real do script/pipeline são afetadas.

Isso permitia aos usuários a permissão Overall/Read, ou era capaz de controlar o conteúdo da biblioteca compartilhada do Jenkinsfile ou do sandbox Pipeline no SCM, para ignorar a proteção do sandbox e executar código arbitrário no mestre do Jenkins.

Detalhes técnicos

Desconhecido

Créditos

Orange Tsai (DEVCORE)

Referência(s)

Jenkins Security Advisory 2019-01-08
https://jenkins.io/security/advisory/2019-01-08/

CloudBees Security Advisory 2019-01-08
https://www.cloudbees.com/cloudbees-security-advisory-2019-01-08

Sandbox bypass in multiple Jenkins plugins
https://seclists.org/oss-sec/2019/q1/31

Jenkins RCE PoC. From unauthenticated user to remote code execution – it’s a hacker’s dream! (Chaining CVE-2019-1003000, CVE-2018-1999002, and more)
https://github.com/petercunha/Jenkins-PreAuth-RCE-PoC

[SECURITY-1266] Don’t execute AST transforms in validate/translate
https://github.com/jenkinsci/pipeline-model-definition-plugin/commit/083abd96e68fd89f556a0cd53db5f878dbf09b92

[SECURITY-1266] Block problematic AST transforms from sandbox
https://github.com/jenkinsci/script-security-plugin/commit/2c5122e50742dd16492f9424992deb21cc07837c

CVE-2019-1003000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003000

CVE-2019-1003000
https://nvd.nist.gov/vuln/detail/CVE-2019-1003000

CVE-2019-1003001
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003001

CVE-2019-1003001
https://nvd.nist.gov/vuln/detail/CVE-2019-1003001

CVE-2019-1003002
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003002

CVE-2019-1003002
https://nvd.nist.gov/vuln/detail/CVE-2019-1003002

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.