CVE-2019-17638 | Jenkins Jetty组件安全漏洞通告

发布时间 2020-08-19

0x00 漏洞概述



CVE   ID

CVE-2019-17638

时    间

2020-08-19

类   型


等    级

严重

远程利用

影响范围

Jenkins 2.224-2.242

Jenkins LTS 2.222.1-2.235.4



0x01 漏洞详情




近日Jenkins官方发布通告,修复了一个Jenkins Jetty组件中的安全漏洞(CVE-2019-17638)。该漏洞源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自带的Jetty 9.4.27存在安全漏洞(CVE-2019-17638),导致未经身份验证的攻击者可获取HTTP响应标头,从而访问到其他用户的敏感信息。

Jenkins是最受欢迎的开源自动化服务器之一,由CloudBees和Jenkins维护。自动化服务器支撑开发人员构建,测试和部署其应用程序,它在全球拥有数十万个活动安装,拥有超过100万用户,建议用户尽快将Jenkins、Jenkins LTS升级到安全版本。


0x02 处置建议


请升级到Jenkins 2.243或Jenkins LTS 2.235.5版本,下载地址:

https://www.jenkins.io/changelog-stable/


0x03 相关资讯


https://securityaffairs.co/wordpress/107286/hacking/jenkins-information-disclosure.html?utm_source=rss&utm_medium=rss&utm_campaign=jenkins-information-disclosure


0x04 参考链接


https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983


0x05 时间线


2020-08-19 VSRC发布漏洞通告