พบช่องโหว่ระดับ Critical ในเว็บเซิร์ฟเวอร์ยอดนิยม Jenkins ที่ผู้ใช้งานอยู่ทั่วโลกและมีผู้ใช้มากกว่า 1 ล้านคน โดยคำเเนะนำที่ถูกเผยเพร่ผ่านบริษัทนั้นระบุว่าช่องโหว่ที่สำคัญนั้นอยู่เว็บเซิร์ฟเวอร์ของ Jetty ซึ่งอาจส่งผลให้เกิด memory corruption และจะอาจทำให้ข้อมูลที่สำคัญในเซิร์ฟเวอร์ถูกเปิดเผย
ช่องโหว่ CVE-2019-17638 (CVSS: 9.4/10) ช่องโหว่เกิดจาการจัดการ HTTP response header บน Jetty ซึ่งทำหน้าที่เป็น Java HTTP เซิร์ฟเวอร์และ servlet เซิร์ฟเวอร์ในการเรียกใช้งาน jav, -jar, jenkins.war เพื่อทำการติดตั้งแพ็คเกจใด ๆ โดยช่องโหว่นี้อาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์ได้รับ HTTP response header ที่อาจประกอบไปด้วยข้อมูลสำคัญของผู้ใช้รายอื่น เช่น authentication cookies ซึ่งผู้โจมตีอาจนำไปใช้เพื่อเข้าสู่ระบบในฐานะผู้ใช้งานรายนั้นๆ ได้
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Jenkins เวอร์ชัน 2.224 ถึง 2.242 และ Jenkins LTS เวอร์ชัน 2.222.1 ถึง 2.235.4 ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตซ์เป็น Jenkins เวอร์ชัน 2.243 และ Jenkins LTS เวอร์ชัน 2.235.5 เพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: