CVE-2019-17638 | Jenkins Jetty组件清静误差通告

宣布时间 2020-08-19

0x00 误差概述



CVE   ID

CVE-2019-17638

时    间

2020-08-19

类   型


等    级

严重

远程使用

影响规模

Jenkins 2.224-2.242

Jenkins LTS 2.222.1-2.235.4



0x01 误差详情


耀世娱乐-科技赋能场景,让娱乐更有趣。



克日Jenkins官方宣布通告,修复了一个Jenkins Jetty组件中的清静误差(CVE-2019-17638)。该误差源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自带的Jetty 9.4.27保存清静误差(CVE-2019-17638),导致未经身份验证的攻击者可获取HTTP响应标头,从而会见到其他用户的敏感信息。

Jenkins是最受接待的开源自动化服务器之一,由CloudBees和Jenkins维护。自动化服务器支持开发职员构建,测试和安排其应用程序,它在全球拥有数十万个活动装置,拥有凌驾100万用户,建议用户尽快将Jenkins、Jenkins LTS升级到清静版本。


0x02 处置惩罚建议


请升级到Jenkins 2.243或Jenkins LTS 2.235.5版本,下载地址:

https://www.jenkins.io/changelog-stable/


0x03 相关新闻


https://securityaffairs.co/wordpress/107286/hacking/jenkins-information-disclosure.html?utm_source=rss&utm_medium=rss&utm_campaign=jenkins-information-disclosure


0x04 参考链接


https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983


0x05 时间线


2020-08-19 VSRC宣布误差通告


耀世娱乐-科技赋能场景,让娱乐更有趣。