Điều chỉnh kích thước chữ

An ninh mạng Việt Nam cảnh báo lỗ hổng bảo mật ứng dụng Jenkins

(CLO) Lỗ hổng này sẽ ảnh hưởng đến dữ liệu nhiều doanh nghiệp, hacker sẽ tận dụng việc này để chiếm quyền điều khiển hệ thống của họ.

Mới đây, lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins đã được Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp.

hacker-tan-cong-jenkins

Theo đó, khi khai thác nhờ lỗ hổng này thì hacker sẽ tấn công và xâm nhập được dữ liệu quan trọng của người dùng, từ đó tạo tiền đề chiếm quyền điều khiển hệ thống. Lỗ hổng đạt mức độ nghiêm trọng lên đến 9,4/10 theo thang điểm CVSS 3.1. Lỗ hổng bắt đầu xuất hiện từ phiên bản Jetty 9.4.27 - phiên bản bổ sung cơ chế xử lý nhiều request đến hệ thống cùng lúc gây lỗi tràn bộ đệm khiến ứng dụng bị lỗi.

Cùng với đó, nguyên nhân do phiên bản Jetty 9.4.27 sẽ có cơ chế giả lập 1 lỗi HTTP 431 cố ý, nhằm gửi thông báo về việc đang có request quá lớn lên máy chủ để hệ thống tự động xử lý trước khi bị tràn bộ nhớ. Cơ chế này lại vô tình tạo ra một lỗi đó là khiến luồng hoạt động của 2 người dùng độc lập có khả năng sẽ có cùng 1 bộ đệm vào cùng 1 thời điểm.

Tóm lại, nhờ khai thác lỗ hổng mà hacker sẽ trộm được thông tin người dùng, thậm chí phát tán dữ liệu mật, thậm chí chiếm được quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp. Hiện tại lỗ hổng đã được gắn mã định danh CVE-2019-17638 với đánh giá mức độ theo NIST: Critical - 9.4 (Nghiêm trọng)

Đến thời điểm hiện tại đã có hơn 200.000 máy chủ cài đặt Jenkins phiên bản bị lỗi công khai trên internet. Chính vì vậy, VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể.

Cùng với đó, một lưu ý nữa là các doanh nghiệp cũng cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng, đồng thời cài đặt mật khẩu mạnh đối với tài khoản hệ thống kể cả tài khoản có quyền hạn thấp.

PV

 
 
Tin mới
Lợi dụng giãn cách dịch Covid-19, nhiều đối tượng đuổi đánh bảo vệ, xâm chiếm đất dự án

(CLO) Lợi dụng giãn cách dịch Covid-19, các đối tượng đã đuổi đánh bảo vệ để xâm chiếm đất dự án nhà ở tại phường An Khánh, TP. Thủ Đức (TP. HCM), gây bức xúc dư luận.

Thủ môn Filip Nguyễn sắp trở về Việt Nam hoàn tất thủ tục nhập tịch

(CLO) Tranh thủ kỳ nghỉ Đông ở giải vô địch quốc gia CH Séc kéo dài dài gần 2 tháng, thủ thành Việt kiều Filip Nguyễn sẽ đưa gia đình sẽ trở về thăm Việt Nam.

Hy vọng hồi sinh tòa nhà

(CLO) Sau 10 năm ngừng thi công và bị coi là công trình làm xấu bộ mặt đô thị TPHCM, đến nay tòa nhà Saigon One Tower đang được thi công trở lại.

Sân vận động bóng đá của Tập đoàn Evergrande vừa bị chuyển giao cho chính phủ tiếp quản

(CLO) Một cơ quan chính phủ đã tiếp quản sân vận động bóng đá của Tập đoàn Evergrande của Trung Quốc với ý định bán nó, một người trong cuộc nói với Reuters, khi nhà phát triển bất động sản đang có rất nhiều khoản nợ.

Kỷ luật nhiều lãnh đạo huyện Cô Tô: Tiếng chuông cảnh tỉnh về kiểm tra, giám sát và thi hành kỷ luật Đảng

(CLO) Qua việc kỷ luật nhiều lãnh đạo huyện Cô Tô, ông Vũ Quốc Hùng - nguyên Phó Chủ nhiệm UBKT TƯ cho rằng, nếu chủ động, chiến đấu, giáo dục hiệu quả, kiểm tra khi có dấu hiệu vi phạm thì không có chuyện phải bất ngờ và kịp thời cứu các đồng chí mình khỏi hành vi, hành động vi phạm xấu xa.

Lợi nhuận thấp, chủ đầu tư “chê” nhà ở xã hội?

(CLO) Hiện nay, nhiều chủ đầu tư không mặn mà phát triển nhà ở xã hội do chỉ được hưởng lợi nhuận tối đa 10% từ việc bán nhà xã hội và 15% từ việc cho thuê, thuê mua nhà xã hội.

Ukraine phát hiện một âm mưu đảo chính liên quan đến Nga

(CLO) Tổng thống Ukraine Volodymyr Zelenskiy cho biết, các cơ quan tình báo nước này đã phát hiện ra một âm mưu liên quan đến một nhóm người Nga và các công dân trong nước nhằm lật đổ chính phủ của ông vào tuần tới.

Thủ tướng: Thúc đẩy sản xuất bằng được vaccine và thuốc điều trị COVID-19 trong nước

(CLO) Thủ tướng Phạm Minh Chính nhấn mạnh, quan điểm chỉ đạo của Đảng, Nhà nước là quyết tâm, phấn đấu sản xuất bằng được vaccine, thuốc điều trị COVID-19 để chủ động phòng chống dịch. Do đó, cần tháo gỡ mọi khó khăn, vướng mắc để thúc đẩy sản xuất bằng được vaccine và thuốc trong nước.

Hà Nội: Mở tuyến xe buýt điện đầu tiên vào ngày 2/12

(CLO) Ngày 27/11, Trung tâm Quản lý giao thông công cộng Hà Nội - HPTC cho biết, tuyến buýt điện đầu tiên trên địa bàn thành phố sẽ được khai trương vào sáng 2/12. Các tuyến tiếp theo sẽ được đại diện UBND thành phố Hà Nội khai trương trong các ngày sau đó.