F5 Networks BIG-IP:Eclipse Jetty 弱点 (K10002140)
critical Nessus 插件 ID 159514
语言:
简介
远程设备缺少供应商提供的安全补丁。描述
远程主机上安装的 F5 Networks BIG-IP 版本低于测试版本。因此,如公告 K10002140 所述,该主机受到多个漏洞的影响。- 在 Eclipse Jetty 版本 9.2.x 和更早版本、版本 9.3.x(所有配置)和版本 9.4.x(启用 RFC2616 合规的非默认配置) 中,系统对传输编码区块的处理欠妥。区块长度解析容易受到整数溢出漏洞的影响。因此,大区块大小可被解释为较小区块大小,作为区块正文发送的内容可被解释为管道请求。如果 Jetty 在施加某些授权的中介后面部署,并且该中介允许任意大型区块在未经更改的情况下传递,则此缺陷可被用于绕过中介施加的授权,这是因为该中介不会将假管道请求解释为请求。(CVE-2017-7657)
- 在 Eclipse Jetty Server 9.2.x 及更旧版本、 9.3.x (所有非 HTTP/1.x 配置)和 9.4.x (所有 HTTP/1.x 配置)中,当提供两个 content-lengths 标头时,Jetty 会忽略第二个标头。当提供 content-length 和分块编码标头时,content-length 将被忽略(根据 RFC 2616)。如果中介决定使用长度较短的标头,但仍传递长度较长的正文,则 Jetty 可将正文内容解释为流水线请求。如果中介正在实施授权,伪造的流水线请求将绕过该授权。(CVE-2017-7658)
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。
解决方案
升级至 F5 解决方案 K10002140 中列出的无漏洞版本之一。另见
插件详情
严重性: Critical
ID: 159514
文件名: f5_bigip_SOL10002140.nasl
版本: 1.2
类型: local
发布时间: 2022/4/5
最近更新时间: 2022/4/5
配置: 启用偏执模式
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2017-7658
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/a:f5:big-ip_wan_optimization_manager, cpe:/h:f5:big-ip_protocol_security_manager, cpe:/h:f5:big-ip
必需的 KB 项: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version, Settings/ParanoidReport
易利用性: No known exploits are available
补丁发布日期: 2022/4/5
漏洞发布日期: 2018/6/26
参考资料信息
CVE: CVE-2017-7657, CVE-2017-7658