10критическая
BDU:2023-05675 (CVE-2023-26048)
Уязвимость функций HttpServletRequest.getParameter() иHttpServletRequest.getParts() контейнера сервлетов Eclipse Jetty, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-15
Описание
Уязвимость функций HttpServletRequest.getParameter() иHttpServletRequest.getParts() контейнера сервлетов Eclipse Jetty связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)JBoss Enterprise Application Platform (7)Red Hat Single Sign-On (7)JBoss A-MQ StreamingRed Hat Integration Service RegistryRed Hat Integration Camel QuarkusRed Hat JBoss Enterprise Application Platform Expansion PackRed Hat Satellite (6)Red Hat Enterprise Linux (9)OpenShift Developer Tools and ServicesRed Hat Integration Camel for Spring BootMigration Toolkit for Applications (6)OpenShift ServerlessMigration Toolkit for RuntimesJetty (от 11.0.0 до 11.0.14)Jetty (от 10.0.0 до 10.0.14)Jetty (до 9.4.51)ОСОН ОСнова Оnyx (до 2.9)Gradle (8.14.3)
Способ устранения
Использование рекомендаций:
Для Eclipse Jetty:
https://github.com/eclipse/jetty.project/pull/9345
https://github.com/eclipse/jetty.project/pull/9344
https://github.com/eclipse/jetty.project/security/advisories/GHSA-qw69-rqj8-6qw8
https://github.com/eclipse/jetty.project/issues/9076
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-26048
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи