检测

Debian DLA-2661-1:jetty9 安全更新

high Nessus 插件 ID 149518

语言:

简介

远程 Debian 主机缺少安全更新。

描述

在 Java servlet 引擎和 Web 服务器 jetty 中发现多个漏洞。攻击者可能会泄露加密凭据(例如本地用户的密码)、泄露安装路径、劫持用户会话或篡改并置 WebApp。

CVE-2017-9735

Jetty 容易受到 util/security/Password.java 中计时通道的影响,这使远程攻击者更容易通过观察拒绝错误密码前经过的时间来获得访问权限。

CVE-2018-12536

在使用默认错误处理部署的 webapp 的所有版本中,当与动态 url-pattern 故意不匹配的错误查询抵达并最终由 DefaultServlet 的静态文件服务处理时,错误字符可触发 java.nio.file.InvalidPathException,其中包括 DefaultServlet 和/或 webapp 正在使用的基本资源目录的完整路径。如果此 InvalidPathException 随后由默认的错误处理程序处理,则错误响应中会包含 InvalidPathException 消息,从而向发出请求的系统显示完整的服务器路径。

CVE-2019-10241

如果远程客户端针对 DefaultServlet 或 ResourceHandler 使用特殊格式的 URL,该 URL 配置为显示目录内容。

CVE-2019-10247

在任何 OS 和 Jetty 版本组合上运行的服务器将在输出中显示配置的完全限定目录库资源位置未找到符合请求的路径的 404 错误。jetty-distribution 和 jetty-home 上的默认服务器行为将在 Handler 树的末尾包括一个 DefaultHandler,它负责报告此 404 错误,它将各种配置的上下文显示为 HTML 供用户点击。此生成的 HTML 包括输出,其中包含为每个上下文配置的完全限定的目录库资源位置。

CVE-2020-27216

在类似 Unix 的系统上,系统的临时目录由该系统上的所有用户共享。并置用户可以观察在共享临时目录中创建临时子目录的过程并争用完成临时子目录的创建。如果攻击者在竞争中获胜,则他们将拥有用于解包 Web 应用程序的子目录的读取和写入权限,包括其 WEB-INF/lib jar 文件和 JSP 文件。如果曾在此临时目录外执行任何代码,则可能导致本地特权提升漏洞。

此更新还包括多个其他缺陷修复和改进。
请参阅上游变更日志文件以获取更多信息。

对于 Debian 9 Stretch,已在版本 9.2.30-0+deb9u1 中修复这些问题。

我们建议您升级 jetty9 程序包。

如需了解 jetty9 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/jetty9

注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动清理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2021/05/msg00016.html

https://packages.debian.org/source/stretch/jetty9

https://security-tracker.debian.org/tracker/source-package/jetty9

插件详情

严重性: High

ID: 149518

文件名: debian_DLA-2661.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2021/5/17

最近更新时间: 2024/1/16

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2019-10247

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2017-9735

漏洞信息

CPE: cpe:/o:debian:debian_linux:9.0, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-java

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/5/14

漏洞发布日期: 2017/6/16

参考资料信息

CVE: CVE-2017-9735, CVE-2018-12536, CVE-2019-10241, CVE-2019-10247, CVE-2020-27216