Esta falha seria o resultado de uma corrupção de memória, dada pelo CVE-2019-17638.

O jenkins é o software mais conhecido como servidor de automação open-source, tendo centenas de milhares de instalações em todo o mundo.

Versões afetadas

Jetty 9.4.77

Jenkins Core

A versão do Jetty levanta uma exceção que leva a um erro HTTP 431, fazendo com que os headers de resposta HTTP fiquem duplamente expostos à pool do buffer, daí levando à corrupção de memória e acesso a informação sensível.

Devido a essa dupla exposição, duas threads podem aceder ao mesmo buffer ao mesmo tempo, o que significa que um pedido pode aceder a uma resposta escrita pela outra thread. Isto pode causar o acesso por exemplo a identificadores de sessão e credenciais de login.

Versões corrigidas

Jetty 9.4.30.v20200611

Jenkins 2.243 e Jenkins LTS 2.235.5.

Mais informações na página oficial: https://www.jenkins.io/security/advisory/2020-08-17/