概要
遠端 Debian 主機上缺少一個或多個安全性更新。
說明
遠端 Debian 10 主機上安裝的多個套件受到 dla-3592 公告中提及的多個弱點影響。
- Jetty 是 java 型 Web 伺服器和 servlet 引擎。在受影響的版本中,對於具有 multipart 支援 (例如使用「@MultipartConfig」註解) 的 servlet 呼叫「HttpServletRequest.getParameter()」或「HttpServletRequest.getParts()」,當客戶端發送帶有以下部分的 multipart 請求時,可能會導致「OutOfMemoryError」:有名稱但沒有檔案名稱且內容非常大。即使使用應將整個部分內容串流至磁碟的「fileSizeThreshold=0」的預設設定,也會發生此情況。攻擊者用戶端可傳送大型 multipart 要求,並造成伺服器擲回「OutOfMemoryError」。不過,伺服器可能會在「OutOfMemoryError」發生後復原並繼續其服務,不過這可能需要一些時間。此問題已在 9.4.51、10.0.14 和 11.0.14 版本中修正。建議所有使用者進行升級。
無法升級的使用者可設定 multipart 參數「maxRequestSize」,此參數必須設定為非負值,因此整個 multipart 內容會受到限制 (儘管仍會讀入記憶體)。
(CVE-2023-26048)
- Jetty 是 java 型 Web 伺服器和 servlet 引擎。Jetty 中的非標準 Cookie 剖析可允許攻擊者走私其他 Cookie 中的 Cookie,或透過竄改 Cookie 剖析機制來執行非預期行為。如果 Jetty 看到以 `` (雙引號) 開頭的 Cookie VALUE,即使遇到分號,也會繼續讀取 Cookie 字串,直到看到結尾引號。因此,以下 Cookie 標頭:「DISPLAY_LANGUAGE=b; JSESSIONID=1337; c=d」將會被剖析為一個 Cookie,其名稱為 DISPLAY_LANGUAGE,值為 b; JSESSIONID=1337; c=d 而非 3 個獨立的 Cookie。這具有安全性影響,因為如果 JSESSIONID 是 HttpOnly Cookie,且 DISPLAY_LANGUAGE Cookie 值是在頁面上轉譯,則攻擊者可將 JSESSIONID Cookie 走私到 DISPLAY_LANGUAGE Cookie 中,進而將其洩漏。當中介者根據 Cookie 制定某些原則時,此問題會造成較大影響,走私的 Cookie 可繞過該原則,但仍可供 Jetty 伺服器或其記錄系統看到。此問題已在 9.4.51、10.0.14、11.0.14 和 12.0.0.beta0 版中解決,建議所有使用者皆升級。此問題尚無已知的因應措施。
(CVE-2023-26049)
- Eclipse Jetty Canonical Repository 是 Jetty 專案的正式存放庫。具有非常特定命令結構的 CgiServlet 使用者可能執行了錯誤的命令。如果使用者傳送要求至 org.eclipse.jetty.servlets.CGI Servlet,以取得名稱中含有空格的二進位檔,則 Servlet 會透過將命令括在引號中來逸出命令。然後,系統將透過 Runtime.exec 呼叫執行此包裝的命令,以及一個選用的命令前置詞。如果使用者提供的原始二進位名稱包含一個引號,且後面緊接著一個空格,則產生的命令行將包含多個 token,而非一個。此問題已在 9.4.52、10.0.16、11.0.16 和 12.0.0-beta2 版中修補。
(CVE-2023-36479)
- Jetty 是 Java 型 Web 伺服器和 servlet 引擎。在 9.4.52、10.0.16、11.0.16 和 12.0.1 版之前,Jetty 接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆,且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境,但可以想像,如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用,可能會導致要求走私。 9.4.52、10.0.16、11.0.16 和 12.0.1 版包含針對此問題的修補程式。由於沒有已知的惡意利用情境,因此沒有因應措施。(CVE-2023-40167)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 jetty9 套件。
針對 Debian 10 buster,已在 9.4.16-0+deb10u3 版本中修正這些問題。
Plugin 詳細資訊
檔案名稱: debian_DLA-3592.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:libjetty9-java, cpe:/o:debian:debian_linux:10.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: Exploits are available