再保险:詹金斯和DWF任务

来耶利哥:<jericho@attrition.org>
主题再保险:Jenkins和DWF任务
从:Kurt Seifried <kurt@seifried.org>
日期:2017年5月2日星期二12:48:14 -0600
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = seifried.org;
Cc:CVE编辑委员会<cve-editorial-board-list@lists.mitre.org>
交货日期:5月2日星期二15:00:02 2017
在回复:< alpine.LNX.2.00.1704272308550.32256@forced.attrition.org >
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:< alpine.LNX.2.00.1704272308550.32256@forced.attrition.org >
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2

缺陷一般认为这是一个十字路口,xstream有一个安全的选择,它只是不违约,所以直到一个实际的应用程序使用它不安全,没有缺陷本身(就像SSL / TLS库默认,不检查主机名,但有一个开关)。

在星期四,2017年4月27日下午10:10时,耶利哥<jericho@attrition.org>写道:

库尔特,

https://jenkins.io/security/advisory / 2017-04-26 /

詹金斯指定一系列的IDs使用DWF-format昨天。在中间的是一个赋值的问题,影响他们,但第三方库。

XStream: Java崩溃当试图实例化空/空安全- 503
/ cve - 2017 - 1000355詹金斯使用XStream序列化和图书馆
反序列化XML。其维护者最近发表了一份安全
漏洞,允许任何人能够提供XML詹金斯
使用XStream崩溃的Java进程处理。在詹金斯
通常适用于用户创建或配置项的权限
(工作)、视图或代理。詹金斯现在禁止未遂
反序列化的空/空导致崩溃。

你能澄清如果这个任务是由DWF的知识的一个id是一个第三方库,或者如果詹金斯请求的块和分配它自己吗?

谢谢,

布莱恩

- - -

Kurt Seifried
kurt@seifried.org