Omisión de sandbox en Pipeline y Script Security de Jenkins

Fecha de publicación: 09/01/2019

Importancia:
Alta

Recursos afectados:

  • Pipeline: Declarative Plugin versión 1.3.4 y anteriores.
  • Pipeline: Groovy Plugin versión 2.61 y anteriores.
  • Script Security Plugin versión 1.49 y anteriores.

Descripción:

Orange Tsai, de devcore, ha reportado una vulnerabilidad del tipo omisión del sandbox que afecta a Pipeline y a Script Security de Jenkins, que podría permitir a un atacante la ejecución arbitraria de código.

Solución:

Actualizar a las siguientes versiones:

  • Pipeline: Declarative Plugin versión 1.3.4.1
  • Pipeline: Groovy Plugin versión 2.61.1
  • Script Security Plugin versión 1.50

Detalle:

  • Una vulnerabilidad del tipo omisión del sandbox en Pipeline y en Script Security, podría permitir a un atacante con permiso Overall/Read o que sea capaz de controlar el contenido de la biblioteca compartida de Jenkinsfile o Pieline en SCM, pasar por alto la protección de la sandbox y ejectuar código arbitrario en el maestro de Jenkins.

Encuesta valoración

 

Etiquetas:
Actualización, Vulnerabilidad

Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 2366 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.