5средняя
BDU:2024-02254 (CVE-2023-40167)
Уязвимость контейнера сервлетов Eclipse Jetty, связанная с ошибками при обработке параметров длины входных данных, позволяющая нарушителю выполнять атаку «контрабанда HTTP-запросов»
Опубликовано: 2024-03-22
Описание
Уязвимость контейнера сервлетов Eclipse Jetty связана с ошибками при обработке параметров длины входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку «контрабанда HTTP-запросов»
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Debian GNU/Linux (10)openSUSE TumbleweedRed Hat AMQ Broker (7)Red Hat Integration Camel QuarkusDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)Suse Linux Enterprise Desktop (15 SP4)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Development Tools (15 SP5)Jetty (от 10.0.0 до 10.0.16)Jetty (от 11.0.0 до 11.0.16)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения
Использование рекомендаций:
Для Debian GNU/Linux.:
https://security-tracker.debian.org/tracker/CVE-2023-40167
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-40167
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-40167.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2023.html
Для Jetty:
https://github.com/jetty/jetty.project/security/advisories/GHSA-hmr7-m48g-48f6
Компенсирующие меры для программных продуктов Elastic:
- использование средств межсетевого экранирования уровня веб-приложений;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.
Для ОСОН ОСнова Оnyx:Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Оценка CVSS
| Балл | 5 — средняя опасность |
Источники и патчи