ГлавнаяБаза уязвимостей БДУ → BDU:2019-04283
5.8средняя

BDU:2019-04283 (CVE-2019-10241)

Уязвимость контейнера сервлетов Eclipse Jetty, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю провести XSS-атаки
Опубликовано: 2019-12-03
Описание

Уязвимость контейнера сервлетов Eclipse Jetty существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести XSS-атаки в результате использования специально отформатированного URL-адреса для DefaultServlet или ResourceHandler

Затрагиваемое ПО и версии
Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Jetty (до 9.2.27)Jetty (до 9.3.26)Jetty (до 9.4.16)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Обновление контейнера сервлетов Eclipse Jetty до версий 9.2.27, 9.3.26, 9.4.16 .

Использование рекомендаций производителя для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jetty9 до версии 9.2.30-0+deb9u2

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-10241https://bugs.eclipse.org/bugs/show_bug.cgi?id=546121https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена