Debian DSA-5507-1:jetty9 - 安全性更新

medium Nessus Plugin ID 182198

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11/12 主機上安裝的多個套件受到 dsa-5507 公告中提及的多個弱點影響。

在 Java 型 Web 伺服器和 servlet 引擎 Jetty 中發現多個安全性弱點。org.eclipse.jetty.servlets.CGI 類別已過時。使用它可能不安全。Jetty 的上游開發人員建議改用快速 CGI。另請參閱 CVE-2023-36479。CVE-2023-26048 在受影響的版本中,對於具有 multipart 支援 (例如使用「@MultipartConfig」註解) 的 servlet 呼叫「HttpServletRequest.getParameter()」或「HttpServletRequest.getParts()」,當客戶端發送帶有以下部分的 multipart 請求時,可能會導致「OutOfMemoryError」:有名稱但沒有檔案名稱且內容非常大。
即使使用應將整個部分內容串流至磁碟的「fileSizeThreshold=0」的預設設定,也會發生此情況。CVE-2023-26049 Jetty 中的非標準 Cookie 剖析可允許攻擊者走私其他 Cookie 中的 Cookie,或透過竄改 Cookie 剖析機制來執行非預期行為。CVE-2023-40167 在這個版本之前,Jetty 已接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆,且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境,但可以想像,如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用,可能會導致要求走私。CVE-2023-36479 具有非常特定命令結構的 CgiServlet 使用者可能執行了錯誤的命令。如果使用者傳送要求至 org.eclipse.jetty.servlets.CGI Servlet,以取得名稱中含有空格的二進位檔,則 Servlet 會透過將命令括在引號中來逸出命令。然後,系統將透過 Runtime.exec 呼叫執行此包裝的命令,以及一個選用的命令前置詞。如果使用者提供的原始二進位名稱包含一個引號,且後面緊接著一個空格,則產生的命令行將包含多個 token,而非一個。CVE-2023-41900 Jetty 容易受到弱式驗證影響。如果 Jetty「OpenIdAuthenticator」使用選用的巢狀「LoginService」,且「LoginService」決定撤銷已驗證的使用者,則目前的要求仍會將使用者視為經過驗證。驗證會從工作階段中清除,後續要求也不會視為經過驗證。因此,在先前經過驗證的工作階段上的要求被「LoginService」拒絕後,可能會被允許繞過驗證。這會影響已設定巢狀「LoginService」且「LoginService」能夠拒絕先前經過驗證的使用者的 jetty-openid 使用方式。針對 oldstable 發行版本 (bullseye),已在 9.4.39-3+deb11u2 版本中修正這些問題。針對穩定的發行版本 (bookworm),已在 9.4.50-4+deb12u1 版中修正這些問題。建議您升級 jetty9 套件。如需有關 jetty9 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:https://security-tracker.debian.org/tracker/jetty9

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 jetty9 套件。

針對穩定的發行版本 (bookworm),已在 9.4.50-4+deb12u1 版中修正這些問題。

另請參閱

https://security-tracker.debian.org/tracker/source-package/jetty9

https://www.debian.org/security/2023/dsa-5507

https://security-tracker.debian.org/tracker/CVE-2023-26048

https://security-tracker.debian.org/tracker/CVE-2023-26049

https://security-tracker.debian.org/tracker/CVE-2023-36479

https://security-tracker.debian.org/tracker/CVE-2023-40167

https://security-tracker.debian.org/tracker/CVE-2023-41900

https://packages.debian.org/source/bullseye/jetty9

https://packages.debian.org/source/bookworm/jetty9

Plugin 詳細資訊

嚴重性: Medium

ID: 182198

檔案名稱: debian_DSA-5507.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2023/9/29

已更新: 2025/1/24

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2023-40167

CVSS v3

風險因素: Medium

基本分數: 5.3

時間性分數: 4.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libjetty9-java, p-cpe:/a:debian:debian_linux:jetty9, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:libjetty9-extra-java

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/9/28

弱點發布日期: 2023/4/18

參考資訊

CVE: CVE-2023-26048, CVE-2023-26049, CVE-2023-36479, CVE-2023-40167, CVE-2023-41900

IAVB: 2023-B-0082-S