El servidor Jenkins, publicó un aviso de seguridad que contiene 1 vulnerabilidad que es clasificada como Severidad Alta [CVSS v3.1: 7.5]
CVE-2022-2048 [CVSS v3.1: 7.5]
Vulnerabilidad de denegación de servicio HTTP/2 en Jetty incluido
Esta vulnerabilidad permite a los atacantes no autenticados hacer que la interfaz de usuario de Jenkins no responda al explotar el manejo de solicitudes de Jetty HTTP/2 no válidas, lo que provoca una denegación de servicio (DoS).
Esto se debe a que Jenkins incluye Winstone-Jetty, un capa alrededor de Jetty, para que actúe como servidor HTTP y servlet cuando comience a usar java -jar jenkins.war. De esta forma es como se ejecuta Jenkins cuando se usa cualquiera de los instaladores o paquetes; pero no cuando se ejecuta usando contenedores de servlets como Tomcat.
Se recomienda actualizar el paquete Jetty LTS 2.261.1 a la versión 10.0.11 que no se ve afectada por este problema, además de Jetty que ya se actualizó previamente a la versión 10.0.11 en el lanzamiento semanal 2.363.
NOTA: Se recomienda a los administradores que no puedan actualizar a estas versiones de Jenkins (o más recientes) que deshabiliten HTTP/2.
El listado de las CVE se adjunta a continuación:
https://www.jenkins.io/security/advisory/2... |
Producto | Versión |
---|---|
Jenkins weekly |
2.362 y anteriores |
Jenkins LTS |
2.346.3 y anteriores |