Evasión de sandbox en varios plugins de Jenkins

Fecha de publicación

30/10/2018

Importancia

4 - Alta

Recursos Afectados

Pipeline: Groovy Plugin
Script Security Plugin

Descripción

Se ha publicado un aviso de seguridad que podría permitir a un atacante la evasión de mecanismos de protección proporcionados por la libreria Groovy Sandbox.

Solución

Actualizar los plugins a las siguientes versiones:

Pipeline: Groovy Plugin 2.60
Script Security Plugin 1.48

Detalle

La biblioteca Groovy Sandbox usada por Script Security Plugin y Pipeline Groovy Plugin no aplica ciertas restricciones del sandbox para finalizar métodos. Esto podría utilizarse para invocar constructores y métodos arbitrarios, evitando así la protección del sandbox.

Listado de referencias

Jenkins Security Advisory 2018-10-29

Etiquetas

Actualización
Vulnerabilidad