ГлавнаяБаза уязвимостей БДУ → BDU:2019-04281
5средняя

BDU:2019-04281

Уязвимость компонента DefaultServlet HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-12-03
Описание

Уязвимость компонента DefaultServlet HTTP-сервера Jetty связана с недостатками обработки ошибок при использовании неверных запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации путем отображения сообщения InvalidPathException, включенного в отчет об ошибках

Затрагиваемое ПО и версии
Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Jetty (от 9.0.0 до 9.2.26 включительно)Jetty (от 9.3.0 до 9.3.24.v20180605)Jetty (от 9.4.0 до 9.4.11.v20180605)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:

Для Jetty:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=535670

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jetty9 до версии 9.2.30-0+deb9u2

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://www.securitytracker.com/id/1041194https://bugs.eclipse.org/bugs/show_bug.cgi?id=535670https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272@%3Cissues.activemq.apache.org%3Ehttps://security.netapp.com/advisory/ntap-20181014-0001/https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03953en_ushttps://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена