检测

插件

Debian DSA-4949-1：jetty9 - 安全更新

critical Nessus 插件 ID 152224

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的多个程序包受到 dsa-4949 公告中提及的多个漏洞影响。

- 在 Eclipse Jetty 版本 9.2.26 及更早版本、 9.3.25 及更早版本以及 9.4.15 及更早版本中，如果远程客户端针对 DefaultServlet 或 ResourceHandler 使用特殊格式的 URL，该 URL 配置为显示目录内容。(CVE-2019-10241)

- 在 Eclipse Jetty 版本 7.x、8.x、9.2.27 和更旧版本、 9.3.26 和更旧版本以及 9.4.16 及更旧版本中，在任何 OS 和 Jetty 版本组合上运行的服务器将在输出中显示配置的完全限定目录库资源位置未找到符合请求的路径的 404 错误。jetty-distribution 和 jetty-home 上的默认服务器行为将在 Handler 树的末尾包括一个 DefaultHandler，它负责报告此 404 错误，它将各种配置的上下文显示为 HTML 供用户点击。此生成的 HTML 包括输出，其中包含为每个上下文配置的完全限定的目录库资源位置。
(CVE-2019-10247)

- 在 Eclipse Jetty 版本 1.0 至 9.4.32.v20200930、10.0.0.alpha1 至 10.0.0.beta2 和 11.0.0.alpha1 至 11.0.0.beta2O 的类似 Unix 的系统中，临时目录在该系统上的所有用户之间共享。并置用户可以观察在共享临时目录中创建临时子目录的过程并争用完成临时子目录的创建。如果攻击者在竞争中获胜，则他们将拥有用于解包 Web 应用程序的子目录的读取和写入权限，包括其 WEB-INF/lib jar 文件和 JSP 文件。如果曾在此临时目录外执行任何代码，则可能导致本地权限升级漏洞。 (CVE-2020-27216)

- 在 Eclipse Jetty 9.4.6.v20170531 至 9.4.36.v20210114（含此版本）、 10.0.0 和 11.0.0 中，当 Jetty 处理包含多个具有大量质量（即 q）参数的请求时，服务器可能进入由于处理这些质量值的高 CPU 使用率而导致的拒绝服务 (DoS) 状态，导致处理这些质量值花费几分钟的 CPU 时间。(CVE-2020-27223)

- Fluentd 2020-12-18 之前版本的 td-agent-builder 插件允许攻击者获取权限，因为用户帐户可写入 bin 目录，但 bin 中的文件作为 NT AUTHORITY\SYSTEM 执行。
(CVE-2020-28169)

- 对于 <= 9.4.40、<= 10.0.2、<= 11.0.2 的 Eclipse Jetty 版本，如果从 SessionListener#sessionDestroyed() 方法抛出异常，则会话 ID 管理器中的会话 ID 不会失效。在具有群集会话和多个上下文的部署中，这可能导致会话不会失效。这可能导致共享计算机上使用的应用程序保持登录状态。
(CVE-2021-34428)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级 jetty9 程序包。

对于稳定发行版本 (buster)，已在版本 9.4.16-0+deb10u1 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/source-package/jetty9

https://www.debian.org/security/2021/dsa-4949

https://security-tracker.debian.org/tracker/CVE-2019-10241

https://security-tracker.debian.org/tracker/CVE-2019-10247

https://security-tracker.debian.org/tracker/CVE-2020-27216

https://security-tracker.debian.org/tracker/CVE-2020-27223

https://security-tracker.debian.org/tracker/CVE-2020-28165

https://security-tracker.debian.org/tracker/CVE-2020-28169

https://security-tracker.debian.org/tracker/CVE-2021-34428

https://packages.debian.org/source/buster/jetty9

插件详情

严重性: Critical

ID: 152224

文件名: debian_DSA-4949.nasl

版本: 1.5

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2021/8/5

最近更新时间: 2023/12/6

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2020-28165

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:libjetty9-java, cpe:/o:debian:debian_linux:10.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/8/4

漏洞发布日期: 2019/4/22

参考资料信息

CVE: CVE-2019-10241, CVE-2019-10247, CVE-2020-27216, CVE-2020-27223, CVE-2020-28165, CVE-2020-28169, CVE-2021-34428

IAVA: 2019-A-0384, 2020-A-0019, 2021-A-0035-S