Jenkins服务器漏洞致敏感信息泄露

最新推荐文章于 2024-05-31 11:19:49 发布
最新推荐文章于 2024-05-31 11:19:49 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/108127084
版权
Jenkins是一个开源的自动化服务器软件。近日,Jenkins发布安全公告称Jetty web服务器中存在安全漏洞,攻击者利用该漏洞可以引发内存破坏和机密信息泄露。该漏洞CVE编号为CVE-2019-17638,CVSS 评分为9.4,影响Eclipse Jetty 9.4.27.v20200227 到 9.4.29.v20200521版本。Eclipse Jetty是一个提供Java HTTP服务器和软件框架中使用的web容器的全特征工具。Jenkins绑定了Winstone-Jetty,使用...
摘要由CSDN通过智能技术生成

 

Jenkins是一个开源的自动化服务器软件。近日,Jenkins发布安全公告称Jetty web服务器中存在安全漏洞,攻击者利用该漏洞可以引发内存破坏和机密信息泄露。该漏洞CVE编号为CVE-2019-17638,CVSS 评分为9.4,影响Eclipse Jetty 9.4.27.v20200227 到 9.4.29.v20200521版本。Eclipse Jetty是一个提供Java HTTP服务器和软件框架中使用的web容器的全特征工具。

Jenkins绑定了Winstone-Jetty,使用java -jar jenkins.war启动时作为HTTP和servlet 服务器。奇热这也是使用任意安装或包时Jenkins的运行原理。

漏洞允许非认证的攻击者获取HTTP 响应header,其中可能包括其他用户的敏感数据。该漏洞影响Jetty 和Jenkins Core,是Jetty 9.4.27版本中引入的,其中加入了严重处理HTTP 响应header和预防缓冲区溢出的机制。

为解决这一问题,Jetty抛出一个异常来生成HTTP 431错误,导致发布的HTTP响应header到缓存池2次引发内存破坏和信息泄露。

由于2次释放,2个线程可以同时从一个池子获取相同的缓存,允许一个请求访问其他线程写的响应其中可能包含session id、认证凭证和其他敏感信息。

当thread1使用ByteBuffer来写入response1数据,thread2会用response2数据填入ByteBuffer中。然后

最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器敏感信息泄漏问题,Jenkins服务器漏洞敏感信息泄露
weixin_29774679的博客
08-06 572
Jenkins是一个开源的自动化服务器软件。近日,Jenkins发布安全公告称Jetty web服务器中存在安全漏洞,攻击者利用该漏洞可以引发内存破坏和机密信息泄露。该漏洞CVE编号为CVE-2019-17638,CVSS 评分为9.4,影响Eclipse Jetty 9.4.27.v20200227 到 9.4.29.v20200521版本。Eclipse Jetty是一个提供Java HTTP...
开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息
smellycat000的专栏
08-19 857
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周一,热门开源自动化服务器软件Jenkins发布安全公告称,Jetty web服务器中存在一个严重漏洞,可导致内存损...
【护网必备】Jenkins综合漏洞的利用工具
最新发布
Fly_鹏程万里
05-31 380
CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1。CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897。本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。
服务器敏感信息泄露,Jenkins服务器漏洞敏感信息泄露 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_39631370的博客
08-10 191
Jenkins是一个开源的自动化服务器软件。近日,Jenkins发布安全公告称Jetty web服务器中存在安全漏洞,攻击者利用该漏洞可以引发内存破坏和机密信息泄露。该漏洞CVE编号为CVE-2019-17638,CVSS 评分为9.4,影响Eclipse Jetty 9.4.27.v20200227 到 9.4.29.v20200521版本。Eclipse Jetty是一个提供Java HTTP...
漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
2401_84297265的博客
04-29 801
【代码】漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞(CVE-
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 7342
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
信息安全_数据安全_Hacking Jenkins !.pdf
08-22
这包括加密敏感信息,使用安全的凭证存储,以及对所有交互进行加密,防止数据在传输过程中被截取。 总结:信息安全和数据安全在如今的数字化时代尤为重要,特别是对于像Jenkins这样的关键基础设施。了解并防范其...
jenkins远程ssh部署插件,现已由于安全漏洞jenkins官方下架,需要的自取
02-12
然而,根据标题所示,这个插件可能因为存在安全漏洞而被Jenkins官方下架。这可能是由于插件中发现了可以被恶意利用的安全风险,例如未授权访问、命令注入或者密码泄露等。当这样的问题出现时,为了保护用户的系统...
jenkins publish over ssh
02-10
"Publish Over SSH" 是 Jenkins 的一个插件,它扩展了 Jenkins 的功能,使得可以通过安全的 Shell(SSH)协议在远程服务器上执行操作,如复制文件、执行命令等。这个离线安装包是为了那些无法通过网络直接安装插件...
jenkins插件.zip
07-02
3. 安全性:保持插件和 Jenkins 的更新以应对最新的安全威胁,避免因漏洞被利用而造成数据泄露。 四、Jenkins 插件的未来发展 随着技术的不断发展,Jenkins 社区会不断推出新的插件,以支持更广泛的技术栈。同时,...
jetty-util-6.1.25.jar
01-10
jetty-util-6.1.25.jarjetty-util-6.1.25.jarjetty-util-6.1.25.jar
Jenkins远程部署插件;新版本Jekins已发布改插件有漏洞;不能直接安装了;有需要的小伙伴可以来下载
01-26
1. **配置SSH密钥对**:为了免密码登录,通常会设置SSH密钥对,公钥放在远程服务器上,私钥保留在Jenkins服务器上。这样可以避免密码泄露,提高安全性。 2. **限制SSH访问**:为SSH服务设置严格的访问控制,只允许...
[CVE-2019-17638]Jenkins自带Jetty的缓冲区损坏
公众号shadow sock7
08-18 1392
参考: https://www.jenkins.io/security/advisory/2020-08-17/ https://github.com/advisories/GHSA-x3rh-m7vp-35f2 https://github.com/eclipse/jetty.project/issues/4936 https://nvd.nist.gov/vuln/detail/2019-17638 这样启动jenkins时使用的是Jenkins自带的jetty: java -jar jenkin
jenkins2.289.1版本远程命令执行漏洞
山兔的博客
11-13 2925
在网络安全行业中,有一种方法可以识别、定义和编目公开披露的漏洞。这种类型的标识称为CVE,代表常见漏洞和披露。分析后,为每个漏洞分配一个严重等级,称为 CVSS 分数,范围从 0 到 10,其中 0 表示信息,10 表示严重。这些分数取决于几个因素,其中一些是 CIA 的危害级别(机密性、完整性、可用性)、攻击复杂程度、攻击面的大小等。在计算机安全中,任意代码执行 (ACE) 是攻击者在目标计算机或目标进程中执行任意命令或代码的能力。[…]旨在利用此类漏洞的程序称为任意代码执行漏洞
Jenkins 命令执行 -- jetty 敏感信息泄露 --(CVE-2021-2816)&&(CVE-2017-1000353)&&(CVE-2018-1000861)
weixin_74985952的博客
09-25 791
对于
Jenkins 部署jar包一直运行很长时间之后提示:Exception when publishing, exception message
m0_37997811的博客
03-29 2145
Jenkins 部署提示错误信息如下: ERROR: Exception when publishing, exception message [Exec timed out or was interrupted after 455,431 ms] Build step ‘Send files or execute commands over SSH’ changed build result t...
java 目录遍历漏洞_Jetty服务器跨站脚本和目录遍历漏洞
weixin_32953371的博客
02-26 996
Jetty是一款流行的Java Web服务器Jetty中捆绑有HTTP服务器、HTTP客户端和javax.servlet容器, 其中HTTP服务器的URI处理器没有正确的解释规范的路径,远程攻击者可以通过目录遍历攻击访问web应用或文档树以外的文件。成功利用这个漏洞要求使 用了支持别名的DefaultServlet,或使用ResourceHandler类提供静态内容。对于UNIX系统,仅在web...
修复CVE-2019-3862漏洞
发现美的眼睛
05-11 2610
修复CVE-2019-3862漏洞 这个漏洞来自于libssh2中的,发现者是国外团队,在发现之初就已经提交上去。在公布漏洞时,该漏洞已经被修复,修复方式采用更新。 修复时,博客主查看了一下阿里云安全中心的修复方案和网上其它博客主的修复方案,都是使用yum对curl的更新。 # 如果yum update要使用的话,请注意linux内核也有可能会被更新 yum update # 更新curl命令,这篇博客文章发布时,修复漏洞的新版本是7.29.0 yum update curl # 查看一下当前

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值