偵測

Plugin

Debian DSA-4949-1：jetty9 - 安全性更新

critical Nessus Plugin ID 152224

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的多個套件受 dsa-4949 公告中提及的多個弱點影響。

- 在 Eclipse Jetty 9.2.26 和更舊版本、 9.3.25 和更舊版本以及 9.4.15 和更舊版本中，如果遠程用戶端針對設定為顯示目錄內容列表的 DefaultServlet 或 ResourceHandler 使用特殊格式的 URL，則服務器很容易受到 XSS 條件的影響。(CVE-2019-10241)

- 在 Eclipse Jetty 7.x、 8.x、 9.2.27 和更舊版本、 9.3.26 和更舊版本以及 9.4.16 和更舊版本中，在任何 OS 和 Jetty 版本組合上執行的伺服器都會在輸出中顯示已設定的完整目錄基礎資源位置未找到符合要求路徑的 404 錯誤。jetty-distribution 和 jetty-home 上的預設伺服器行為將在 Handler 樹狀結構結尾包含一個 DefaultHandler，其負責報告此 404 錯誤，它將各種設定的內容呈現為 HTML，供使用者按一下即可存取。此產生的 HTML 包含輸出，其中包含每個內容的已設定完整目錄基礎資源位置。
(CVE-2019-10247)

- 在 Eclipse Jetty 1.0 版至 9.4.32.v20200930 版、10.0.0.alpha1 版至 10.0.0.beta2 版和 11.0.0.alpha1 版至 11.0.0.beta2O 版中，在類似 Unix 的系統上，临时目录可以在该系统上的所有用户之间共享。並置使用者可觀察在共用暫存目錄中建立暫存子目錄的過程，並爭用以完成暫存子目錄的建立。如果攻擊者在爭用中獲勝，則他們將擁有用於解壓縮 Web 應用程式的子目錄 (包括其 WEB-INF/lib jar 檔案和 JSP 檔案) 的讀取和寫入權限。如果在此暫存目錄之外執行任何程式碼，可能會導致本機權限提升弱點。(CVE-2020-27216)

- 在 Eclipse Jetty 9.4.6.v20170531 版至 9.4.36.v20210114 版(含此版本)、 10.0.0 版和 11.0.0 版中，當 Jetty 使用大量品質 (即 q) 參數處理含有多個 Accept 標頭的要求時，伺服器可能會進入由於處理這些品質值的高 CPU 使用率所導致的拒絕服務 (DoS) 狀態，進而導致處理這些品質值的 CPU 時間耗盡。(CVE-2020-27223)

- Fluentd 2020-12-18 版之前的 td-agent-builder 外掛程式允許攻擊者取得權限，因為 bin 目錄可由使用者帳戶寫入，但 bin 中的檔案是以 NT AUTHORITY\SYSTEM 執行。
(CVE-2020-28169)

- 對於 <= 9.4.40、 <= 10.0.2、 <= 11.0.2 的 Eclipse Jetty 版本，如果從 SessionListener#sessionDestroyed() 方法擲回例外狀況，則工作階段 ID 管理員中的工作階段 ID 不會失效。在具有叢集工作階段和多個內容的部署中，這可導致工作階段一直有效。這可能導致共用電腦上使用的應用程式保持登入狀態。
(CVE-2021-34428)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 jetty9 套件。

針對穩定的發行版本 (buster)，已在 9.4.16-0+deb10u1 版本中修正這些問題。

另請參閱

https://security-tracker.debian.org/tracker/source-package/jetty9

https://www.debian.org/security/2021/dsa-4949

https://security-tracker.debian.org/tracker/CVE-2019-10241

https://security-tracker.debian.org/tracker/CVE-2019-10247

https://security-tracker.debian.org/tracker/CVE-2020-27216

https://security-tracker.debian.org/tracker/CVE-2020-27223

https://security-tracker.debian.org/tracker/CVE-2020-28165

https://security-tracker.debian.org/tracker/CVE-2020-28169

https://security-tracker.debian.org/tracker/CVE-2021-34428

https://packages.debian.org/source/buster/jetty9

Plugin 詳細資訊

嚴重性: Critical

ID: 152224

檔案名稱: debian_DSA-4949.nasl

版本: 1.5

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2021/8/5

已更新: 2023/12/6

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2020-28165

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:libjetty9-java, cpe:/o:debian:debian_linux:10.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/8/4

弱點發布日期: 2019/4/22

參考資訊

CVE: CVE-2019-10241, CVE-2019-10247, CVE-2020-27216, CVE-2020-27223, CVE-2020-28165, CVE-2020-28169, CVE-2021-34428

IAVA: 2019-A-0384, 2020-A-0019, 2021-A-0035-S