严重的Jenkins服务器漏洞可能会泄漏敏感信息

詹金斯—；一款流行的开源自动化服务器软件—；周一发布了一条关于Jetty web服务器中一个可能导致内存损坏并导致机密信息泄露的严重漏洞的建议。

该漏洞被追踪为CVE-2019-17638，其CVSS等级为9.4，并影响Eclipse Jetty版本9.4.27。v20200227至9.4.29。v20200521—；一个功能齐全的工具，提供Java HTTP服务器和web容器，供软件框架使用。

“Jenkins捆绑了Winstone Jetty，它是Jetty的一个包装器，在开始使用java-jar Jenkins.war时充当HTTP和servlet服务器。这是Jenkins在使用任何安装程序或软件包时运行的方式，但在使用Tomcat等servlet容器运行时则不是这样，”咨询中写道。

“该漏洞可能允许未经身份验证的攻击者获取HTTP响应头，其中可能包含针对其他用户的敏感数据。”

影响Jetty和Jenkins Core的漏洞似乎是Jetty 9.4.27版中引入的，该版本添加了一种机制来处理大型HTTP响应头并防止缓冲区溢出。

Jetty的项目负责人Greg Wilkins说：“问题是在缓冲区溢出的情况下，我们释放了头缓冲区，但没有使字段为空。”。

为了处理这个问题，Jetty抛出一个异常以产生HTTP 431错误，这会导致HTTP响应头被释放到缓冲池两次，从而导致内存损坏和信息泄露。

因此，由于双重释放，两个线程可以同时从池中获取相同的缓冲区，并可能允许一个请求访问另一个线程编写的响应，其中可能包括会话标识符、身份验证凭据和其他敏感信息。

换言之，“当thread1将要使用字节缓冲区写入response1数据时，thread2用response2数据填充字节缓冲区。thread1然后继续写入现在包含response2数据的缓冲区。这会导致client1发出request1并期望响应，以查看response2，其中可能包含属于client2的敏感数据。”

在一种情况下，内存损坏使得客户端可以在会话之间移动，从而可以跨帐户访问，因为来自一个用户响应的身份验证cookie被发送给另一个用户，从而允许用户A跳入用户B的会话。

在安全隐患被披露后，Jetty 9.4.30解决了该漏洞。v20200611于上月发布。Jenkins通过一个名为Winstone的命令行界面捆绑Jetty，该公司已修补了昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5实用程序中的漏洞。

建议Jenkins用户将其软件更新至最新版本，以缓解缓冲区损坏漏洞。