首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2019-17638 | Jenkins Jetty組件安全漏洞通告

發布時間 2020-08-19

0x00 漏洞概述



CVE   ID

CVE-2019-17638

時    間

2020-08-19

類   型


等    級

嚴重

遠程利用

影響范圍

Jenkins 2.224-2.242

Jenkins LTS 2.222.1-2.235.4



0x01 漏洞詳情




近日Jenkins官方發布通告,修復了一個Jenkins Jetty組件中的安全漏洞(CVE-2019-17638)。該漏洞源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自帶的Jetty 9.4.27存在安全漏洞(CVE-2019-17638),導致未經身份驗證的攻擊者可獲取HTTP響應標頭,從而訪問到其他用戶的敏感信息。

Jenkins是最受歡迎的開源自動化服務器之一,由CloudBees和Jenkins維護。自動化服務器支持開發人員構建,測試和部署其應用程序,它在全球擁有數十萬個活動安裝,擁有超過100萬用戶,建議用戶盡快將Jenkins、Jenkins LTS升級到安全版本。


0x02 處置建議


請升級到Jenkins 2.243或Jenkins LTS 2.235.5版本,下載地址:

https://www.jenkins.io/changelog-stable/


0x03 相關新聞


https://securityaffairs.co/wordpress/107286/hacking/jenkins-information-disclosure.html?utm_source=rss&utm_medium=rss&utm_campaign=jenkins-information-disclosure


0x04 參考鏈接


https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983


0x05 時間線


2020-08-19 VSRC發布漏洞通告





上一篇 下一篇