Jetty HttpParser 錯誤遠端記憶體洩漏
high Nessus Plugin ID 81576
語系:
概要
遠端網頁伺服器受到遠端記憶體洩漏弱點的影響。說明
Jetty 的遠端執行個體受到 HttpParser 模組中的一個遠端記憶體洩漏弱點影響,此弱點是因為錯誤處理標頭值中的不合法字元所導致。當在 HTTP 要求中遇到不合法字元時,Jetty 會在先前要求中所使用的共用緩衝區中寫入回應。Jetty 對用戶端的回應包含這個共用緩衝區,其中含有來自先前要求的潛在敏感資料。攻擊者可利用含有不合法字元的變數長度字串的特製要求,竊取敏感標頭資料 (例如 Cookie、驗證 token) 或敏感 POST 資料 (例如憑證)。解決方案
升級至 Jetty 9.2.9.v20150224 或更新版本。如果是 Jetty 9.3.x,請聯絡供應商以取得解決方案。另請參閱
http://www.nessus.org/u?b8e07913
Plugin 詳細資訊
嚴重性: High
ID: 81576
檔案名稱: jetty_cve-2015-2080.nasl
版本: 1.7
類型: remote
系列: Web Servers
已發布: 2015/2/27
已更新: 2019/11/26
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2015-2080
CVSS v3
風險因素: High
基本分數: 7.5
時間分數: 6.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mortbay:jetty
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2015/2/24
弱點發布日期: 2015/2/24
參考資訊
CVE: CVE-2015-2080
BID: 72768