必威国际有限公司詹金斯保安之家

对于管理员 记者 为维护人员 必威国际有限公司詹金斯保安队

必威国际有限公司詹金斯安全咨询2018-10-29

此建议宣布以下Jenkins交付成果中的漏洞:必威国际有限公司

描述

脚本安全和管道Groovy插件中的沙盒旁路

Security -1186 / CVE-2018-1000865(脚本安全插件)和CVE-2018-1000866(管道:Groovy插件)

脚本安全插件和管道Groovy插件使用的Groovy沙盒库不应用沙盒限制来完成方法。这可以用来调用任意构造函数和方法,绕过沙盒保护。

受沙箱安全性限制,Finalize方法现在在类中被禁止。

请注意
 这可能导致现有的沙盒脚本(如管道)在使用此语言特性时开始失败。

严重程度

  • 安全- 1186:

影响版本

  • 管道:Groovy Plugin最高可达2.59
  • 脚本安全插件直到并包括1.47

修复

  • 管道:Groovy Plugin是否应该更新到2.60版本
  • 脚本安全插件是否应该更新到版本1.48

这些版本包括对上述漏洞的修复。除非另有说明,所有以前的版本都被认为受到这些漏洞的影响。

信贷

詹金斯项必威国际有限公司目感谢记者们的发现报告这些漏洞:

  • Semmle安全研究团队的Man Yue Mo安全- 1186

Baidu