Уязвимость в серверах Jenkins может привести к утечке данных

Команда разработчиков популярного инструмента автоматизации Jenkins сообщила об уязвимости в web-сервере Jetty, которая может привести к повреждению памяти и утечке конфиденциальной информации.

Проблема (CVE-2019-17638) затрагивает версии Jetty с 9.4.27.v20200227 по 9.4.29.v20200521. По словам разработчиков, неавторизованный злоумышленник может проэксплуатировать данную уязвимость , чтобы получить заголовки ответов HTTP, которые могут содержать важные данные, предназначенные для другого пользователя.

Судя по всему, уязвимость была представлена в версии Jetty 9.4.27, в которой был реализован механизм для обработки больших HTTP заголовков и предотвращения переполнения буфера.

Проблема устранена в версии Jetty 9.4.30.v20200611, выпущенной в минувшем месяце. В понедельник, 17 августа, команда Jenkins представила исправленные версии Jenkins 2.243 и Jenkins LTS 2.235.5. Всем пользователям рекомендуется обновить ПО.

Eclipse Jetty - свободный контейнер сервлетов, написанный полностью на Java. Может использоваться как HTTP-сервер или применяться совместно со специализированным HTTP-сервером.