Vulnerabilitate critică a serverului Jenkins
Comunitatea Jenkins a publicat un aviz prin care anunță despre o vulnerabilitate critică a serverului (CVE – 2019-17638) cu o severitate CVSS de 9.4, care poate permite persoanelor răuintenționate să corupe memoria și să compromită informații sensibile ale utilizatorilor.
Jenkins este unul dintre cele mai populare servere de automatizare open-sourse ce oferă sute de plugin-uri pentru a susține dezvoltatorii să-și construiască, testeze și implementeze aplicații și produse software proprii.
Conform anunțului, vulnerabilitatea afectează versiunile serverului Jenkins 2.224 până la 2.242 și LTS 2.222.1 până la 2.235.4 cu pachetele Eclipse Jetty 9.4.27 până la 9.4.29.
Vulnerabilitatea este cauzată de producerea unei erori HTTP 431 în cazurile anteturilor prea mari de răspuns, cauzând eliberarea dublă a acestora, prin suprascrierea buffer-ului. În acest caz, de exemplu dacă sunt 2 clienți care așteaptă răspunsuri, clientul 1 care a emis solicitarea 1 poate vizualiza răspunsul destinat clientului 2, din cauza suprascrierii buffer-ului cu datele clientului 2, astfel fiind expuse datele sensibile și de autentificare ale acestuia.
Toate detaliile tehnice privind vulnerabilitatea pot fi accesate aici, iar pentru a remedia această vulnerabilitate, utilizatorilor Jenkins li se recomandă să-și actualizeze versiunile software-lui cât mai curând posibil, update-urile fiind disponibile pe portalul web oficial al Jenkins.
