5средняя
BDU:2023-05682 (CVE-2023-26049)
Уязвимость контейнера сервлетов Eclipse Jetty, связанная с ошибками проверки синтаксической корректности ввода, позволяющая нарушителю внедрить одни cookies внутрь других и повлиять на их обработку
Опубликовано: 2023-09-15
Описание
Уязвимость контейнера сервлетов Eclipse Jetty связана с ошибками проверки синтаксической корректности ввода. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, внедрить одни cookies внутрь других и повлиять на их обработку
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)JBoss Enterprise Application Platform (7)Red Hat Single Sign-On (7)Red Hat build of QuarkusRed Hat Integration Camel KRed Hat Integration Service RegistryRed Hat Integration Camel QuarkusRed Hat JBoss Enterprise Application Platform Expansion PackRed Hat Satellite (6)Red Hat Enterprise Linux (9)OpenShift Developer Tools and ServicesMigration Toolkit for Applications (6)OpenShift ServerlessMigration Toolkit for RuntimesRed Hat JBoss A-MQ StreamsJetty (от 11.0.0 до 11.0.14)Jetty (от 10.0.0 до 10.0.14)Jetty (до 9.4.51)Jetty (12.0.0alpha2)Jetty (12.0.0alpha3)Jetty (12.0.0alpha1)ОСОН ОСнова Оnyx (до 2.9)Gradle (8.14.3)
Способ устранения
Использование рекомендаций:
Для Eclipse Jetty:
https://github.com/eclipse/jetty.project/security/advisories/GHSA-p26g-97m4-6q7c
https://github.com/eclipse/jetty.project/pull/9352
https://github.com/eclipse/jetty.project/pull/9339
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-26049
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Оценка CVSS
| Балл | 5 — средняя опасность |
Источники и патчи