ГлавнаяБаза уязвимостей БДУ → BDU:2021-03243
2.6средняя

BDU:2021-03243 (CVE-2021-34428)

Уязвимость метода SessionListener#sessionDestroyed() контейнера сервлетов Eclipse Jetty, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2021-06-25
Описание

Уязвимость метода SessionListener#sessionDestroyed() контейнера сервлетов Eclipse Jetty связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Затрагиваемое ПО и версии
Red Hat OpenStack Platform (13.0 (Queens))Jetty (до 9.4.41)Jetty (до 10.0.3)Jetty (до 11.0.3)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для Eclipse Jetty:
https://github.com/eclipse/jetty.project/security/advisories/GHSA-m6cp-vxjx-65j6

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-34428

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3osnova1

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://github.com/eclipse/jetty.project/security/advisories/GHSA-m6cp-vxjx-65j6https://access.redhat.com/security/cve/CVE-2021-34428https://lists.apache.org/thread.html/ref1c161a1621504e673f9197b49e6efe5a33ce3f0e6d8f1f804fc695@%3Cjira.kafka.apache.org%3Ehttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Проверьте безопасность своего сайта и почты → Полная проверка домена