Уязвимость в серверах Jenkins может привести к утечке данных

Уязвимость в серверах Jenkins может привести к утечке данных

Проблема содержится в web-сервере Jetty.

Команда разработчиков популярного инструмента автоматизации Jenkins сообщила об уязвимости в web-сервере Jetty, которая может привести к повреждению памяти и утечке конфиденциальной информации.

Проблема (CVE-2019-17638) затрагивает версии Jetty с 9.4.27.v20200227 по 9.4.29.v20200521. По словам разработчиков, неавторизованный злоумышленник может проэксплуатировать данную уязвимость, чтобы получить заголовки ответов HTTP, которые могут содержать важные данные, предназначенные для другого пользователя.

Судя по всему, уязвимость была представлена в версии Jetty 9.4.27, в которой был реализован механизм для обработки больших HTTP заголовков и предотвращения переполнения буфера.

Проблема устранена в версии Jetty 9.4.30.v20200611, выпущенной в минувшем месяце. В понедельник, 17 августа, команда Jenkins представила исправленные версии Jenkins 2.243 и Jenkins LTS 2.235.5. Всем пользователям рекомендуется обновить ПО.

Eclipse Jetty - свободный контейнер сервлетов, написанный полностью на Java. Может использоваться как HTTP-сервер или применяться совместно со специализированным HTTP-сервером.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.