Jenkins, el popular software de servidor de automatización de código abierto,
publicó un aviso
sobre una vulnerabilidad crítica en el servidor web Jetty que podría dañar la
memoria y hacer que se divulgue información confidencial.
La falla, que afecta a Jetty y Jenkins Core, parece haber sido introducida en la versión 9.4.27 de Jetty, que agregó un mecanismo para manejar grandes encabezados de respuesta HTTP y evitar desbordamientos de búfer.
Después de que se revelaron las implicaciones de seguridad, la vulnerabilidad se abordó en Jetty 9.4.30.v20200611 lanzado el mes pasado. Jenkins, que incluye Jetty a través de una interfaz de línea de comandos llamada Winstone, corrigió la falla en su utilidad en Jenkins 2.243 y Jenkins LTS 2.235.5 lanzado ayer.
Se recomienda que los usuarios de Jenkins actualicen su software a la última versión para mitigar la falla de corrupción del búfer.
Fuente:
THN
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!