Jenkins发布了一篇关于jettyweb服务器中一个严重漏洞的公告，该漏洞可能导致内存损坏，并导致机密信息泄露。该漏洞的编号为CVE-2019-17638，CVSS等级为9.4，影响范围为Eclipse Jetty版本9.4.27.v20200227至9.4.29.v20200521。

“该漏洞允许未经身份验证的攻击者获取HTTP响应标头，其中可能包含针对其他用户的敏感数据。”

这个影响Jetty和Jenkins核心的漏洞似乎是在Jetty版本9.4.27中引入的，该版本添加了一个机制来处理大型HTTP响应头并防止缓冲区溢出。

Jetty项目负责人GregWilkins说：“问题是在缓冲区溢出的情况下，我们释放了头缓冲区，但没有使字段为空。”

为解决此问题，Jetty引发异常以产生HTTP 431错误，该错误导致HTTP响应标头两次释放到缓冲池中，进而导致内存损坏和信息泄露。

因此，由于双重释放，两个线程可以同时从池中获取相同的缓冲区，并且可能允许一个请求访问由另一个线程写入的响应，该响应可能包括会话标识符、身份验证凭据和其他敏感信息。

换句话说，“当thread1要使用ByteBuffer写入response1数据时，thread2用response2数据填充ByteBuffer。然后，Thread1继续写入现在包含response2数据的缓冲区。这导致client1发出了request1并期望响应，看到response2可能包含属于client2的敏感数据。”

在一种情况下，内存损坏使得客户端能够在会话之间移动，从而可以进行跨帐户访问，因为来自一个用户响应的身份验证cookie被发送到另一用户，从而允许用户A跳入用户B的会话。

披露安全隐患后，上个月发布的Jetty 9.4.30.v20200611解决了该漏洞。Jenkins在昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5中修复了其实用程序中的缺陷。

建议Jenkins用户将他们的软件更新到最新版本，以缓解该漏洞的危害。

稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理，

转载请注明“转自 HackerNews.cc ” 并附上原文链接。