UNE VULNERABILITE CRITIQUE DES SERVEURS JENKINS POURRAIT ENTRAINER LA FUITE D’INFORMATIONS SENSIBLES
CVE-2019-17638 - CVSS: 9.4
Sources
https://www.jenkins.io/security/advisory/2020-08-17/
Risques
Cette vulnérabilité pourrait permettre à un acteur malveillant non authentifié d'obtenir des en-têtes de réponse HTTP qui peuvent inclure des données sensibles destinées à un autre utilisateur.
Description
La vulnérabilité réside dans le Winstone-Jetty wrapper qui agit comme un serveur HTTP et Servlet. La faille réside dans un débordement de mémoire tampon qui n'est pas correctement géré.
Lorsque le logiciel provoque une exception pour produire une erreur HTTP 431, il libère deux fois les en-têtes de réponse HTTP dans la mémoire cache de la mémoire tampon, entraînant, au final, une corruption de la mémoire.
En raison de cette double libération, ces deux threads peuvent acquérir la même section de mémoire tampon dans la mémoire cache simultanément. Cela permet à une requête d'accéder à une réponse écrite par l'autre thread. Cette réponse peut contenir des identifiants de session, des données d'authentification et d'autres informations sensibles.
Actions recommandées
Le CERT.be recommande aux administrateurs système d'appliquer les derniers correctifs publiés par le fournisseur dès que possible.
Lors de l'application des correctifs, il convient de donner la priorité aux systèmes directement connectés à internet.
Les versions corrigées des composants concernés sont disponibles sur la page de Jenkins :
- Les versions Jenkins weekly releases devraient être mises à jour à la version 2.243
- Les versions de Jenkins LTS doivent être mises à jour à la version 2.235.5
Ces mises à jour sont disponible ici : https://www.jenkins.io/download/.
Références
https://thehackernews.com/2020/08/jenkins-server-vulnerability.html