2018-2198: Jenkins-Plugins: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-10-30 13:08)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer kann eine Schwachstelle in den Plugins Script Security und Pipeline Groovy ausnutzen, um Schutzmechanismen der Sandbox zu umgehen. Der Angreifer kann dadurch beliebige Konstruktoren und Methoden initialisieren und so letztlich seine Privilegien eskalieren.

Jenkins stellt für das Pipeline Groovy Plugin die Version 2.60 und für das Script Security Plugin die Version 1.48 zur Behebung der Schwachstelle bereit. Der Hersteller stuft den Schweregrad der Schwachstelle als schwerwiegend (high) ein und weist außerdem darauf hin, dass benutzerdefinierte Skripte aufgrund der neu eingeführten Restriktionen nach dem Update möglicherweise nicht mehr funktionieren.

Schwachstellen:

SECURITY-1186

Schwachstelle in Jenkins Script Security Plugin und Pipeline Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.