ГлавнаяБаза уязвимостей БДУ → BDU:2022-02206
10критическая

BDU:2022-02206

Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2022-04-13
Описание

Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty связана с недостатками обработки заголовков Transfer-Encoding и Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Retail Xstore Payment (3.3)Enterprise Manager Base Platform (13.2.0)Enterprise Manager Base Platform (13.3.0)Oracle Hospitality Guest Access (4.2.0)Oracle Hospitality Guest Access (4.2.1)Jetty (от 9.3.0 до 9.3.24.v20180605)Jetty (от 9.4.0 до 9.4.11.v20180605)REST Data Services (11.2.0.4)REST Data Services (12.1.0.2)REST Data Services (12.2.0.1)REST Data Services (18c)Cognos Analytics (11.0)Cognos Analytics (11.1)Oracle Communications Cloud Native Core Policy (1.5.0)Jetty (до 9.2.25.v20180606)BookKeeper (4.9.2)HP Device Manager (до 8.6.2-00)Oracle Retail Xstore Point of Service (7.1)Oracle Retail Xstore Point of Service (15.0)Oracle Retail Xstore Point of Service (16.0)Oracle Retail Xstore Point of Service (17.0)
Способ устранения

Использование рекомендаций:
Для Eclipse Jetty:
https://www.eclipse.org/jetty/security_reports.php

Для Debian:
https://www.debian.org/security/2018/dsa-4278

Для Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Apache:
https://lists.apache.org/thread/gg49mcoofz9w3t9rbm7w61ntqg2xqr3l

Для продуктов HP:
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbst03953en_us

Для продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-has-addressed-multiple-vulnerabilities-4/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://www.securityfocus.com/bid/106566http://www.securitytracker.com/id/1041194https://bugs.eclipse.org/bugs/show_bug.cgi?id=535669https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272@%3Cissues.activemq.apache.org%3Ehttps://lists.apache.org/thread.html/708d94141126eac03011144a971a6411fcac16d9c248d1d535a39451@%3Csolr-user.lucene.apache.org%3Ehttps://lists.apache.org/thread.html/9317fd092b257a0815434b116a8af8daea6e920b6673f4fd5583d5fe@%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a705334ab6a444e64e840a0@%3Cissues.bookkeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r41af10c4adec8d34a969abeb07fd0d6ad0c86768b751464f1cdd23e8@%3Ccommits.druid.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена