CloudBees Jenkins Job DSL Plugin安全特征问题漏洞

漏洞概况

漏洞描述

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Job DSL Plugin是使用在其中的一个支持DSL以编程方式创建项目的插件。 CloudBees Jenkins Job DSL Plugin 1.71及之前版本中的多个文件存在安全特征问题漏洞。攻击者可利用该漏洞绕过沙盒保护，在Jenkins master上执行任意代码。(多个文件包括：job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy、job-dsl-plugin/build.gradle、job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy和job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy)

影响产品

厂商补丁

CloudBees Jenkins Job DSL Plugin安全特征问题漏洞的补丁

补丁链接：https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1342

补丁描述

CloudBees Jenkins（Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Job DSL Plugin是使用在其中的一个支持DSL以编程方式创建项目的插件。 CloudBees Jenkins Job DSL Plugin 1.71及之前版本中的多个文件存在安全特征问题漏洞。攻击者可利用该漏洞绕过沙盒保护，在Jenkins master上执行任意代码。(多个文件包括：job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy、job-dsl-plugin/build.gradle、job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy和job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy) 目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

漏洞解决方案

厂商已发布了漏洞修复程序，请及时关注更新： https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1342