18 ago. 2020

Vulnerabilidad critica en Jenkins Server permite divulgación de información

Jenkins, el popular software de servidor de automatización de código abierto, publicó un aviso sobre una vulnerabilidad crítica en el servidor web Jetty que podría dañar la memoria y hacer que se divulgue información confidencial.

Indentificada como CVE-2019-17638, la falla tiene una calificación CVSS de 9.4 e impacta en las versiones 9.4.27.v20200227 a 9.4.29.v20200521 de Eclipse Jetty, una herramienta completa que proporciona un servidor HTTP Java y un contenedor web para su uso en marcos de software. "La vulnerabilidad puede permitir que atacantes no autenticados obtengan encabezados de respuesta HTTP que pueden incluir datos confidenciales destinados a otro usuario".

La falla, que afecta a Jetty y Jenkins Core, parece haber sido introducida en la versión 9.4.27 de Jetty, que agregó un mecanismo para manejar grandes encabezados de respuesta HTTP y evitar desbordamientos de búfer.

Después de que se revelaron las implicaciones de seguridad, la vulnerabilidad se abordó en Jetty 9.4.30.v20200611 lanzado el mes pasado. Jenkins, que incluye Jetty a través de una interfaz de línea de comandos llamada Winstone, corrigió la falla en su utilidad en Jenkins 2.243 y Jenkins LTS 2.235.5 lanzado ayer.

Se recomienda que los usuarios de Jenkins actualicen su software a la última versión para mitigar la falla de corrupción del búfer.

Fuente: THN

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!