A falha de raíz é representada pelo CVE-2024-43044, de leitura de ficheiros, e que permitia ao atacante com permissões de agente/conexão ler ficheiros do sistema de controlo de ficheiros do jenkins, acedendo a dados confidenciais e, dessa forma, desencadear mais ataques, incluindo a execução de código.
Para que os agentes executem objetos Java enviados pelo controlador, a livraria permite que os agentes carreguem classes e recursos de classloader do controlador.
Através da API Channel#preloadJa, os plugins do Jenkins podem usar o remoting para enviar ficheiros jar completos além de ficheiros de recurso e de classe.
Usando o método `ClassLoaderProxy#fetchJar}, nessa livraria remota, os processos de agente podem ler ficheiros arbitrários.
Versões afetadas
Jenkins weekly até e incluindo 2.470
Jenkins LTS até e incluindo 2.452.3
Solução
Jenkins weekly deve ser atualizado para a versão 2.471
Jenkins LTS deve ser atualizado para a versão 2.452.4 or 2.462.1
Advisory oficial: https://www.jenkins.io/security/advisory/2024-08-07/
Comments