Уязвимость в серверах Jenkins может привести к утечке данных

Уязвимость в серверах Jenkins может привести к утечке данных

Alexander Antipov

Проблема содержится в web-сервере Jetty.

image

Команда разработчиков популярного инструмента автоматизации Jenkins сообщила об уязвимости в web-сервере Jetty, которая может привести к повреждению памяти и утечке конфиденциальной информации.

Проблема (CVE-2019-17638) затрагивает версии Jetty с 9.4.27.v20200227 по 9.4.29.v20200521. По словам разработчиков, неавторизованный злоумышленник может проэксплуатировать данную уязвимость, чтобы получить заголовки ответов HTTP, которые могут содержать важные данные, предназначенные для другого пользователя.

Судя по всему, уязвимость была представлена в версии Jetty 9.4.27, в которой был реализован механизм для обработки больших HTTP заголовков и предотвращения переполнения буфера.

Проблема устранена в версии Jetty 9.4.30.v20200611, выпущенной в минувшем месяце. В понедельник, 17 августа, команда Jenkins представила исправленные версии Jenkins 2.243 и Jenkins LTS 2.235.5. Всем пользователям рекомендуется обновить ПО.

Eclipse Jetty — свободный контейнер сервлетов, написанный полностью на Java. Может использоваться как HTTP-сервер или применяться совместно со специализированным HTTP-сервером.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab