Vulnérabilité dans Jenkins

Date de publication : 19/08/2020

Une vulnérabilité a été découverte dans Jenkins, un outil d’intégration continue. Elle peut permettre à un attaquant de provoquer une fuite d’informations sensibles.

CVE-2019-17638 [Score CVSS v3 : 9.4] : Une vulnérabilité a été découverte de type “corruption de mémoire tampon” dans le composant Jetty utilisé par Jenkins. Elle peut permettre à un attaquant non authentifié d’obtenir des entêtes de réponses HTTP depuis un utilisateur pouvant inclure des données sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Fuite d’informations

Criticité

Score CVSS v3 : 9.4

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible à ce jour

Composants vulnérables

Jenkins weekly jusqu’à la version 2.242

Jenkins LTS jusqu’à la version 2.235.4

CVE

CVE-2019-17638

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Jenkins vers une version non vulnérable :
- Jenkins weekly version 2.243 ou supérieure
- Jenkins LTS version 2.235.5 ou supérieure

Solution de contournement

Aucune solution de contournement

Liens

Jenkins Security Advisory 2020-08-17