Debian DSA-5507-1:jetty9 - 安全更新
medium Nessus 插件 ID 182198
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11/12 主机上安装的多个程序包受到 dsa-5507 公告中提及的多个漏洞影响。在基于 Java 的 Web 服务器和 servlet 引擎 Jetty 中发现多个安全漏洞。org.eclipse.jetty.servlets.CGI 类已弃用。使用它可能不安全。Jetty 的上游开发人员建议改用 Fast CGI。另请参阅 CVE-2023-36479。CVE-2023-26048 在受影响的版本中,包含调用 `HttpServletRequest.getParameter()` 或 `HttpServletRequest.getParts()` 的多部分支持(例如注释为 `@MultipartConfig`)的 Servlet,可能会在客户端发送包含有名称但无文件名且内容非常大的部分的多部分请求时导致 `OutOfMemoryError`。
即使使用默认设置 `fileSizeThreshold=0` 也会发生这种情况,该设置应将整个部分内容流式传输到磁盘。CVE-2023-26049 Jetty 中存在非标准 Cookie 解析,攻击者可利用此问题在其他 Cookie 中走私 Cookie,或是通过篡改 Cookie 解析机制来执行意外行为。CVE-2023-40167 在此版本之前,Jetty 会接受 HTTP/1 标头字段中 content-length 值前面的 `+` 字符。这比 RFC 允许的更为宽松,而其他服务器通常会拒绝此类请求并返回 400 响应。目前尚无已知的利用场景,但可以预见,如果 jetty 与发送此类 400 响应后不关闭连接的服务器结合使用,就可能会导致请求走私情形。CVE-2023-36479使用命令结构非常具体的 CgiServlet 的用户可能会执行错误的命令。如果用户向 org.eclipse.jetty.servlets.CGI Servlet 发送名称中包含空格的二进制文件的请求,Servlet 则会用引号将命令封装以转义该命令。随后,系统将通过调用 Runtime.exec 来执行此封装命令以及可选命令前缀。如果用户提供的原始二进制文件名称中包含后跟一个空格的引号,则生成的命令行将包含多个标记,而非一个。CVE-2023-41900 Jetty 容易受到弱身份验证攻击。如果 Jetty `OpenIdAuthenticator` 使用可选嵌套 `LoginService`,并且该 `LoginService` 决定撤销已通过身份验证的用户,则当前请求仍会将用户视为已通过身份验证。随后,身份验证将从会话中清除,而且后续请求将不会被视为已通过身份验证。因此,先前经过身份验证的会话中的请求在被 `LoginService` 拒绝后可以绕过身份验证。这会影响使用已配置嵌套 `LoginService` 的 jetty-openid 的用户,并且 `LoginService` 能够拒绝先前经过身份验证的用户。对于旧的稳定发行版本 (bullseye),这些问题已在 9.4.39-3+deb11u2 版本中修复。对于稳定发行版本 (bookworm),已在 9.4.50-4+deb12u1 版本中修复这些问题。我们建议您升级 jetty9 程序包。如需了解 jetty9 的详细安全状态,请参阅其安全跟踪页面:https://security-tracker.debian.org/tracker/jetty9
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 jetty9 程序包。对于稳定发行版本 (bookworm),已在 9.4.50-4+deb12u1 版本中修复这些问题。
另见
https://security-tracker.debian.org/tracker/source-package/jetty9
https://www.debian.org/security/2023/dsa-5507
https://security-tracker.debian.org/tracker/CVE-2023-26048
https://security-tracker.debian.org/tracker/CVE-2023-26049
https://security-tracker.debian.org/tracker/CVE-2023-36479
https://security-tracker.debian.org/tracker/CVE-2023-40167
https://security-tracker.debian.org/tracker/CVE-2023-41900
插件详情
严重性: Medium
ID: 182198
文件名: debian_DSA-5507.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2023/9/29
最近更新时间: 2025/1/24
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2023-40167
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libjetty9-java, p-cpe:/a:debian:debian_linux:jetty9, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:libjetty9-extra-java
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/9/28
漏洞发布日期: 2023/4/18
参考资料信息
CVE: CVE-2023-26048, CVE-2023-26049, CVE-2023-36479, CVE-2023-40167, CVE-2023-41900
IAVB: 2023-B-0082-S