Jenkins Server ปล่อยข้อมูลผู้ใช้งานรั่วไหล!

Open-source automation server software ที่มีความนิยม ประกาศออกมาเมื่อวันจันทร์กับช่องโหว่ร้ายแรงใน Jetty web server ที่อาจก่อให้เกิด memory corruption หรือก่อให้เกิดข้อมูลรั่วไหลได้  CVE-2019-17638 ช่องโหว่ CVSS rating 9.4 มีผลกระทบต่อ Eclipse Jetty version 9.4.27. V20200227 จนถึง 9.4.29.v20200521 เป็นรูปแบบเครื่องมือที่ใช้จัดการ Java HTTP server และ web container ใน software frameworks  ช่องโหว่นี้อาจทำให้ผู้โจมตีเข้ามาเก็บ HTTP response headers ที่มีข้อมูลของผู้ใช้งานไปได้ ซึ่งผลกระทบบน Jetty และ Jenkins Core บน Jetty version 9.4.27 ที่ต้องเพิ่มกลไกลการรับมือกับ HTTP response ขนาดใหญ่ และป้องกัน buffer overflows หลังจากที่  Jetty 9.4.30.v202006011 ได้มีการเผยแพร่ออกมาเมื่อสิ้นเดือน ก็ได้มีการปล่อยตัว Jenkins พร้อมกับ bundles Jetty ผ่าน Command-line interface ที่เรียกว่า “Winstone” ออกมา patched Jenkins 2.243 และ Jenkins LTS 2.235.5  คำแนะนำ: ให้ผู้ใช้งาน Jenkins update software ให้เป็นปัจจุบันเพื่อลดโอกาสในการเกิด buffer corruption flaw  อ้างอิง: https://thehackernews.com/2020/08/jenkins-server-vulnerability.html
Read More