Buffer overflow su server Jenkins, aggiornare al più presto

Buffer overflow su server Jenkins, aggiornare al più presto

Gli sviluppatori del popolare software per server di automazione open source Jenkins hanno emesso un avviso su una vulnerabilità critica sul server Web Jetty il cui sfruttamento potrebbe causare il danneggiamento della memoria e la fuga di informazioni sensibili.

La vulnerabilità, monitorata come CVE-2019-17638, ha ricevuto un punteggio di 9,4 / 10 sulla scala CVSS (Common Vulnerability Scoring System) ed è presente in tutte le versioni tra Eclipse Jetty 9.4.27.v20200227 e 9.4.29.v20200521, a Jetty wrapper, per agire come server HTTP e servlet quando inizi a utilizzare java -jar jenkins.war.

"Questo è il modo in cui Jenkins viene eseguito quando si utilizza uno qualsiasi degli installatori o dei pacchetti, ma non quando viene eseguito con contenitori servlet come Tomcat”, si legge nell'avviso.

Secondo il rapporto, la vulnerabilità consentirebbe agli hacker non autenticati di ottenere intestazioni di risposta HTTP che potrebbero includere dati sensibili destinati a un altro utente. Il difetto sarebbe stato introdotto nella versione 9.4.27 di Jetty, che aggiungeva una funzione per gestire intestazioni di risposta HTTP di grandi dimensioni e prevenire l'overflow del buffer.

"L'aggiornamento ha risolto l'overflow del buffer, ma il campo non è stato interrotto", ha affermato Greg Wilkins, Project Manager Jetty. "La soluzione fa sì che le intestazioni delle risposte HTTP vengano pubblicate due volte nel pool di buffer, con conseguente danneggiamento della memoria e divulgazione delle informazioni", aggiunge Wilkins.

In un caso di exploit rilevato di recente, il danneggiamento della memoria ha consentito ai client di spostarsi tra le sessioni, quindi hanno ottenuto l'accesso agli account perché i cookie di autenticazione di un utente sono finiti nelle mani di un altro utente. La versione di Jetty 9.4.30.v20200611, rilasciata il mese scorso, contiene le correzioni necessarie. Si consiglia agli utenti di Jenkins di aggiornare le distribuzioni vulnerabili per mitigare il rischio di sfruttare questa vulnerabilità.

Posted on