ГлавнаяБаза уязвимостей БДУ → BDU:2024-05833
4средняя

BDU:2024-05833

Уязвимость контейнера сервлетов Eclipse Jetty, связанная с неправильной нейтрализацией синтаксиса цитирования, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-07-31
Описание

Уязвимость контейнера сервлетов Eclipse Jetty связана с формированием командной строки, содержащей несколько токенов вместо одного. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Jetty (от 10.0.0 до 10.0.16)Jetty (от 11.0.0 до 11.0.16)ОСОН ОСнова Оnyx (до 2.9)Jetty (от 9.0.0 до 9.4.52)Jetty (12.0.0 beta0)Jetty (12.0.0 beta1)Jetty (12.0.0 alpha1)Jetty (12.0.0 alpha2)Jetty (12.0.0 alpha3)
Способ устранения

Для jetty:
https://github.com/eclipse/jetty.project/pull/9516
https://github.com/eclipse/jetty.project/pull/9888
https://github.com/eclipse/jetty.project/pull/9889
https://github.com/eclipse/jetty.project/security/advisories/GHSA-3gh6-v5v9-6v9j

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/eclipse/jetty.project/pull/9516https://github.com/eclipse/jetty.project/pull/9888https://github.com/eclipse/jetty.project/pull/9889https://github.com/eclipse/jetty.project/security/advisories/GHSA-3gh6-v5v9-6v9jhttps://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена