Összefoglaló
A Jenkins olyan sérülékenységét jelentették, amelyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
A sérülékenységet a Winstone servlet container hash generáló funkciójának hibája okozza űrlap üzenetek hashelése és a hash tábla frissítése során. Ezt kihasználva, egy speciálisan megszerkesztett űrlap HTTP POST kéréssel való küldésével, hash ütközés idézhető elő, amely magas processzorhasználathoz vezet.
A sérülékenységet az 1.446. és korábbi, illetve az 1.424.1. és korábbi verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Race condition (Versenyhelyzet)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.cloudbees.com
SECUNIA 47519