Jenkins, el popular software de servidor de automatización de código abierto, publicó un aviso sobre una vulnerabilidad crítica en el servidor web Jetty que podría dañar la memoria y hacer que se divulgue información confidencial.

Indentificada como CVE-2019-17638, la falla tiene una calificación CVSS de 9.4 e impacta en las versiones 9.4.27.v20200227 a 9.4.29.v20200521 de Eclipse Jetty, una herramienta completa que proporciona un servidor HTTP Java y un contenedor web para su uso en marcos de software. "La vulnerabilidad puede permitir que atacantes no autenticados obtengan encabezados de respuesta HTTP que pueden incluir datos confidenciales destinados a otro usuario".

La falla, que afecta a Jetty y Jenkins Core, parece haber sido introducida en la versión 9.4.27 de Jetty, que agregó un mecanismo para manejar grandes encabezados de respuesta HTTP y evitar desbordamientos de búfer.

Después de que se revelaron las implicaciones de seguridad, la vulnerabilidad se abordó en Jetty 9.4.30.v20200611 lanzado el mes pasado. Jenkins, que incluye Jetty a través de una interfaz de línea de comandos llamada Winstone, corrigió la falla en su utilidad en Jenkins 2.243 y Jenkins LTS 2.235.5 lanzado ayer.

Se recomienda que los usuarios de Jenkins actualicen su software a la última versión para mitigar la falla de corrupción del búfer.

Fuente: THN