Jenkins - łata krytyczną podatność umożliwiającą wykonywanie kodu w OS poprzez odpowiednio (złośliwie) zbudowany URL

10 grudnia 2018, 11:55 | W biegu | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Problem opisany jest w ramach ID: SECURITY-595: Code execution through crafted URLs (błąd jest krytyczny, w skali CVSS 9.8 / 10, nie wymaga uwierzytelnienia). W skrócie, można wołać prawdopodobnie niemal dowolne metody javowe, korzystając właśnie z odpowiedniej konstrukcji URL-a:

(...) any public method whose name starts with get, and that has a Stringintlong, or no argument can be invoked this way on objects that are reachable through these means. As these naming conventions closely match common code patterns in Java, accessing crafted URLs could invoke methods never intended to be invoked this way.

Polecamy szybką aktualizację.

--ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz