Giỏ Hàng đang trống!
Cảnh báo khẩn về lỗ hổng bảo mật nguy hiểm trên Jenkins
Theo đó, khi hacker khai thác thành công lỗi này thì có thể xâm nhập dữ liệu quan trọng của người dùng như đánh cắp thông tin, phát tán dữ liệu mật, từ đó tạo tiền đề chiếm quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Lỗ hổng đạt mức độ nghiêm trọng lên đến 9,4/10 theo thang điểm CVSS 3.1.
Lỗ hổng bắt đầu xuất hiện từ phiên bản Jetty 9.4.27. Khác với những phiên bản trước, Jetty 9.4.27 hoạt động với cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ. Nhưng cơ chế này lại vô tình tạo ra một lỗi không mong muốn, đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm.
Hiện lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đánh giá mức độ theo NIST: Critical - 9.4 (Nghiêm trọng).
Theo thống kê, hiện có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên internet.
VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. Ngoài ra, các doanh nghiệp cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.