15 de noviembre de 2018

Evasión de sandbox en varios plugins de Jenkins

Se ha publicado un aviso de seguridad que podría permitir a un atacante la evasión de mecanismos de protección proporcionados por la libreria Groovy Sandbox, catalogada de  Importancia: 4 - Alta
Recursos afectados:
  • Pipeline: Groovy Plugin
  • Script Security Plugin
  • Recomendación
Actualizar los plugins a las siguientes versiones:
  • Pipeline: Groovy Plugin 2.60
  • Script Security Plugin 1.48
Detalle de vulnerabilidades
La biblioteca Groovy Sandbox usada por Script Security Plugin y Pipeline Groovy Plugin no aplica ciertas restricciones del sandbox para finalizar métodos. Esto podría utilizarse para invocar constructores y métodos arbitrarios, evitando así la protección del sandbox.
Más información
Fuente: INCIBE