Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty связана с недостатками обработки заголовков Transfer-Encoding и Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Использование рекомендаций:
Для Eclipse Jetty:
https://www.eclipse.org/jetty/security_reports.php
Для Debian:
https://www.debian.org/security/2018/dsa-4278
Для Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Apache:
https://lists.apache.org/thread/gg49mcoofz9w3t9rbm7w61ntqg2xqr3l
Для продуктов HP:
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbst03953en_us
Для продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-has-addressed-multiple-vulnerabilities-4/
| Балл | 10 — критическая опасность |