CVE-2019-17638 | Jenkins Jetty组件安全漏洞通告
发布时间 2020-08-190x00 漏洞概述
CVE ID | CVE-2019-17638 | 时 间 | 2020-08-19 |
类 型 | 等 级 | 严重 | |
远程利用 | 是 | 影响范围 | Jenkins 2.224-2.242 Jenkins LTS 2.222.1-2.235.4 |
0x01 漏洞详情
近日Jenkins官方发布通告,修复了一个Jenkins Jetty组件中的安全漏洞(CVE-2019-17638)。该漏洞源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自带的Jetty 9.4.27存在安全漏洞(CVE-2019-17638),导致未经身份验证的攻击者可获取HTTP响应标头,从而访问到其他用户的敏感信息。
Jenkins是最受欢迎的开源自动化服务器之一,由CloudBees和Jenkins维护。自动化服务器支持开发人员构建,测试和部署其应用程序,它在全球拥有数十万个活动安装,拥有超过100万用户,建议用户尽快将Jenkins、Jenkins LTS升级到安全版本。
0x02 处置建议
请升级到Jenkins 2.243或Jenkins LTS 2.235.5版本,下载地址:
https://www.jenkins.io/changelog-stable/
0x03 相关新闻
https://securityaffairs.co/wordpress/107286/hacking/jenkins-information-disclosure.html?utm_source=rss&utm_medium=rss&utm_campaign=jenkins-information-disclosure
0x04 参考链接
https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983
0x05 时间线
2020-08-19 VSRC发布漏洞通告
京公网安备11010802024551号