www.belgium.be Logo of the federal government

Kritieke Jenkins-server Kwetsbaarheid (Disclosure vertrouwelijke data)

Referentie: 
Advisory #2020-028
Versie: 
1.0
Geïmpacteerde software: 
Jenkins weekly releases tot en met versie 2.242
Jenkins LTS releases tot en met versie 2.235.4
Type: 
Disclosure of Sensitive data
CVE/CVSS: 

CVE-2019-17638 - CVSS: 9.4

Datum: 
19/08/2020

Bronnen

https://www.jenkins.io/security/advisory/2020-08-17/

Risico’s

Een niet-geauthenticeerde aanvaller is in staat om HTTP-responseheaders te verkrijgen met mogelijk gevoelige gegevens die bedoeld zijn voor een andere gebruiker.

Beschrijving

De kwetsbaarheid zit in de Winstone-Jetty-wrapper die dient als HTTP & Servlet-server. De fout zit in een bufferoverloop die niet volgens de regels van de kunst wordt afgehandeld.

Wanneer de software een exception opwerpt ment HTTP 431-fout, geeft de software twee maal de HTTP-responseheaders vrij aan de bufferpool.
Deze twee threads kunnen tegelijkertijd dezelfde buffer uit de pool raadplegen waardoor het ene verzoek toegang krijgt tot een antwoord dat door de andere thread werd geschreven.

Dit antwoord kan sessie-identificaties, authenticatiegegevens en andere gevoelige informatie bevatten.

Aanbevolen acties

CERT.be raadt systeembeheerders aan om de meest recente patches zo snel mogelijk toe te passen.
Geef prioriteit aan systemen die publiek toegankelijk zijn via het internet.

Gepatchte versies zijn beschikbaar op de Jenkins downloadpagina.

Jenkins weekly releases moeten geupdate worden naar versie 2.243
Jenkins LTS releases moeten geupdate worden naar versie 2.235.5

link: https://www.jenkins.io/download/