Новости Уязвимость в серверах Jenkins может привести к утечке данных

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
️Платиновый меценат💰️💰️💰️💰️
Регистрация
27/7/18
Сообщения
3.851
Репутация
15.431
Реакции
23.684
RUB
0
Сделок через гаранта
16
Проблема содержится в web-сервере Jetty.

Команда разработчиков популярного инструмента автоматизации Jenkins об уязвимости в web-сервере Jetty, которая может привести к повреждению памяти и утечке конфиденциальной информации.

Проблема (CVE-2019-17638) затрагивает версии Jetty с 9.4.27.v20200227 по 9.4.29.v20200521. По словам разработчиков, неавторизованный злоумышленник может проэксплуатировать данную уязвимость, чтобы получить заголовки ответов HTTP, которые могут содержать важные данные, предназначенные для другого пользователя.

Судя по всему, уязвимость была представлена в версии Jetty 9.4.27, в которой был реализован механизм для обработки больших HTTP заголовков и предотвращения переполнения буфера.

Проблема устранена в версии Jetty 9.4.30.v20200611, выпущенной в минувшем месяце. В понедельник, 17 августа, команда Jenkins представила исправленные версии Jenkins 2.243 и Jenkins LTS 2.235.5. Всем пользователям рекомендуется обновить ПО.

Eclipse Jetty - свободный контейнер сервлетов, написанный полностью на Java. Может использоваться как HTTP-сервер или применяться совместно со специализированным HTTP-сервером.
 
Сверху Снизу