ГлавнаяБаза уязвимостей БДУ → BDU:2023-06394
4средняя

BDU:2023-06394 (CVE-2023-41900)

Уязвимость класса OpenIdAuthenticator контейнера сервлетов Eclipse Jetty, позволяющая нарушителю обойти ограничения безопасности
Опубликовано: 2023-10-06
Описание

Уязвимость класса OpenIdAuthenticator контейнера сервлетов Eclipse Jetty связана с недостатками процедуры аутентификации при обработке параметра параметр LoginService. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Jetty (от 9.4.21 до 9.4.52)Jetty (от 10.0.0 до 10.0.16)Jetty (от 11.0.0 до 11.0.16)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Eclipse Jetty:
https://github.com/eclipse/jetty.project/pull/9528
https://github.com/eclipse/jetty.project/pull/9660
https://github.com/eclipse/jetty.project/security/advisories/GHSA-pwh8-58vv-vw48

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-41900
https://www.debian.org/security/2023/dsa-5507

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/eclipse/jetty.project/pull/9528https://github.com/eclipse/jetty.project/pull/9660https://github.com/eclipse/jetty.project/security/advisories/GHSA-pwh8-58vv-vw48https://www.debian.org/security/2023/dsa-5507https://vuldb.com/ru/?id.239822https://security-tracker.debian.org/tracker/CVE-2023-41900https://github.com/eclipse/jetty.project/blob/jetty-10.0.14/jetty-openid/src/main/java/org/eclipse/jetty/security/openid/OpenIdAuthenticator.java#L505https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена