Jenkins Jetty组件安全漏洞通告

# 漏洞公告 2020-08-20 16:54 0 2,175 来源：郑州市网络安全协会

0x00 漏洞概述

CVE ID	CVE-2019-17638	时间	2020-08-19
类型		等级	严重
远程利用	是	影响范围	Jenkins 2.224-2.242Jenkins LTS 2.222.1-2.235.4

0x01 漏洞详情

近日Jenkins官方发布通告，修复了一个Jenkins Jetty组件中的安全漏洞（CVE-2019-17638）。该漏洞源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自带的Jetty 9.4.27存在安全漏洞（CVE-2019-17638），导致未经身份验证的攻击者可获取HTTP响应标头，从而访问到其他用户的敏感信息。

Jenkins是最受欢迎的开源自动化服务器之一，由CloudBees和Jenkins维护。自动化服务器支持开发人员构建，测试和部署其应用程序，它在全球拥有数十万个活动安装，拥有超过100万用户，建议用户尽快将Jenkins、Jenkins LTS升级到安全版本。

0x02 处置建议

请升级到Jenkins 2.243或Jenkins LTS 2.235.5版本，下载地址：

https://www.jenkins.io/changelog-stable/

0x03 相关新闻

https://securityaffairs.co/wordpress/107286/hacking/jenkins-information-disclosure.html?utm_source=rss&utm_medium=rss&utm_campaign=jenkins-information-disclosure

0x04 参考链接

https://www.jenkins.io/security/advisory/2020-08-17/#SECURITY-1983

上一篇 Apache Struts2远程代码执行漏洞通告

下一篇 宝塔服务器面板PHPMYADMIN未鉴权漏洞

发表评论