遠端 Redhat Enterprise Linux 8 主機安裝了一個或多個受到多個弱點影響的套件，供應商已確認這些弱點不會得到修補。

  - jetty：本機暫存目錄劫持弱點 (CVE-2020-27216)

  - jetty：在 Gzip 要求擴大中未正確回收緩衝區 (CVE-2020-27218)

  - Jetty 是 Java 型 Web 伺服器和 servlet 引擎。在 9.4.52、10.0.16、11.0.16 和 12.0.1 版之前，Jetty 接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆，且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境，但可以想像，如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用，可能會導致要求走私。 9.4.52、10.0.16、11.0.16 和 12.0.1 版包含針對此問題的修補程式。由於沒有已知的惡意利用情境，因此沒有因應措施。(CVE-2023-40167)

請注意，Nessus 並未測試這些問題，而是依據套件管理員已安裝套件的報告。

偵測

RHEL 8：jetty (未修補的弱點)

high Nessus Plugin ID 199245

版本 1.6