偵測

Debian DLA-3592-1:jetty9 - LTS 安全性更新

medium Nessus Plugin ID 182409

語系:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的多個套件受到 dla-3592 公告中提及的多個弱點影響。

 - Jetty 是 java 型 Web 伺服器和 servlet 引擎。在受影響的版本中,對於具有 multipart 支援 (例如使用「@MultipartConfig」註解) 的 servlet 呼叫「HttpServletRequest.getParameter()」或「HttpServletRequest.getParts()」,當客戶端發送帶有以下部分的 multipart 請求時,可能會導致「OutOfMemoryError」:有名稱但沒有檔案名稱且內容非常大。即使使用應將整個部分內容串流至磁碟的「fileSizeThreshold=0」的預設設定,也會發生此情況。攻擊者用戶端可傳送大型 multipart 要求,並造成伺服器擲回「OutOfMemoryError」。不過,伺服器可能會在「OutOfMemoryError」發生後復原並繼續其服務,不過這可能需要一些時間。此問題已在 9.4.51、10.0.14 和 11.0.14 版本中修正。建議所有使用者進行升級。
 無法升級的使用者可設定 multipart 參數「maxRequestSize」,此參數必須設定為非負值,因此整個 multipart 內容會受到限制 (儘管仍會讀入記憶體)。
 (CVE-2023-26048)

 - Jetty 是 java 型 Web 伺服器和 servlet 引擎。Jetty 中的非標準 Cookie 剖析可允許攻擊者走私其他 Cookie 中的 Cookie,或透過竄改 Cookie 剖析機制來執行非預期行為。如果 Jetty 看到以 `` (雙引號) 開頭的 Cookie VALUE,即使遇到分號,也會繼續讀取 Cookie 字串,直到看到結尾引號。因此,以下 Cookie 標頭:「DISPLAY_LANGUAGE=b; JSESSIONID=1337; c=d」將會被剖析為一個 Cookie,其名稱為 DISPLAY_LANGUAGE,值為 b; JSESSIONID=1337; c=d 而非 3 個獨立的 Cookie。這具有安全性影響,因為如果 JSESSIONID 是 HttpOnly Cookie,且 DISPLAY_LANGUAGE Cookie 值是在頁面上轉譯,則攻擊者可將 JSESSIONID Cookie 走私到 DISPLAY_LANGUAGE Cookie 中,進而將其洩漏。當中介者根據 Cookie 制定某些原則時,此問題會造成較大影響,走私的 Cookie 可繞過該原則,但仍可供 Jetty 伺服器或其記錄系統看到。此問題已在 9.4.51、10.0.14、11.0.14 和 12.0.0.beta0 版中解決,建議所有使用者皆升級。此問題尚無已知的因應措施。
 (CVE-2023-26049)

 - Eclipse Jetty Canonical Repository 是 Jetty 專案的正式存放庫。具有非常特定命令結構的 CgiServlet 使用者可能執行了錯誤的命令。如果使用者傳送要求至 org.eclipse.jetty.servlets.CGI Servlet,以取得名稱中含有空格的二進位檔,則 Servlet 會透過將命令括在引號中來逸出命令。然後,系統將透過 Runtime.exec 呼叫執行此包裝的命令,以及一個選用的命令前置詞。如果使用者提供的原始二進位名稱包含一個引號,且後面緊接著一個空格,則產生的命令行將包含多個 token,而非一個。此問題已在 9.4.52、10.0.16、11.0.16 和 12.0.0-beta2 版中修補。
 (CVE-2023-36479)

 - Jetty 是 Java 型 Web 伺服器和 servlet 引擎。在 9.4.52、10.0.16、11.0.16 和 12.0.1 版之前,Jetty 接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆,且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境,但可以想像,如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用,可能會導致要求走私。 9.4.52、10.0.16、11.0.16 和 12.0.1 版包含針對此問題的修補程式。由於沒有已知的惡意利用情境,因此沒有因應措施。(CVE-2023-40167)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 jetty9 套件。

針對 Debian 10 buster,已在 9.4.16-0+deb10u3 版本中修正這些問題。

另請參閱

https://security-tracker.debian.org/tracker/source-package/jetty9

https://www.debian.org/lts/security/2023/dla-3592

https://security-tracker.debian.org/tracker/CVE-2023-26048

https://security-tracker.debian.org/tracker/CVE-2023-26049

https://security-tracker.debian.org/tracker/CVE-2023-36479

https://security-tracker.debian.org/tracker/CVE-2023-40167

https://packages.debian.org/source/buster/jetty9

Plugin 詳細資訊

嚴重性: Medium

ID: 182409

檔案名稱: debian_DLA-3592.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2023/10/1

已更新: 2024/3/21

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2023-40167

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:libjetty9-java, cpe:/o:debian:debian_linux:10.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/9/30

弱點發布日期: 2023/4/18

參考資訊

CVE: CVE-2023-26048, CVE-2023-26049, CVE-2023-36479, CVE-2023-40167

IAVB: 2023-B-0082-S