未拨打的版本可以揭示敏感用户数据
詹金斯的维护者已经解决了严重的缓冲腐败脆弱性在Jetty中,核心依赖性可能会暴露敏感用户信息。
开源的Jenkins Project Bundles Winstone-Jetty,围绕Jetty的包装纸,在开始使用时充当HTTP和Servlet服务器Java-Jar Jenkins.war, 一种安全咨询解释。
受影响的版本詹金斯(2.224至2.242)和长期支持线(2.222.1至2.235.4)捆绑了一种受到先前公开的缓冲腐败漏洞影响的码头版本(CVE-2019-17638)。
一项咨询解释说:“如果响应太大,码头引发了一个例外,以产生HTTP 431错误。发生这种情况时,包含HTTP响应标头的字节扣将两次释放回ByteBufferpool。”
由于双重释放,两个线程可以从池中获取相同的字节扣。
“虽然Thread1即将使用ByteBuffer编写响应1数据,而Thread2则填充ByteBuffer使用响应2数据。然后,Thread1继续编写现在包含响应2数据的缓冲区。”
这可能会使未经身心的攻击者获得可能包含敏感的HTTP响应标头数据,有可能公开包括HTTP会话ID和用户凭据的信息。
缓解
该错误被詹金斯(Jenkins)的工作人员归类为高度严重程度。现在,它已在最新的Jenkins Build(2.243)和Jenkins LTS(2.235.5)中进行了修补。
敦促Jenkins用户更新到最新版本。
最新的詹金斯安全版本遵循本月初的咨询/发行许多安全错误在Jenkins Core和各种插件中。
