ГлавнаяБаза уязвимостей БДУ → BDU:2024-02254
5средняя

BDU:2024-02254 (CVE-2023-40167)

Уязвимость контейнера сервлетов Eclipse Jetty, связанная с ошибками при обработке параметров длины входных данных, позволяющая нарушителю выполнять атаку «контрабанда HTTP-запросов»
Опубликовано: 2024-03-22
Описание

Уязвимость контейнера сервлетов Eclipse Jetty связана с ошибками при обработке параметров длины входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку «контрабанда HTTP-запросов»

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Debian GNU/Linux (10)openSUSE TumbleweedRed Hat AMQ Broker (7)Red Hat Integration Camel QuarkusDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)Suse Linux Enterprise Desktop (15 SP4)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Development Tools (15 SP5)Jetty (от 10.0.0 до 10.0.16)Jetty (от 11.0.0 до 11.0.16)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Debian GNU/Linux.:
https://security-tracker.debian.org/tracker/CVE-2023-40167

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-40167

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-40167.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2023.html

Для Jetty:
https://github.com/jetty/jetty.project/security/advisories/GHSA-hmr7-m48g-48f6

Компенсирующие меры для программных продуктов Elastic:
- использование средств межсетевого экранирования уровня веб-приложений;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2023-40167https://access.redhat.com/security/cve/CVE-2023-40167https://www.suse.com/security/cve/CVE-2023-40167.htmlhttps://vuldb.com/?id.251047https://github.com/jetty/jetty.project/security/advisories/GHSA-hmr7-m48g-48f6https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена