6.8средняя
BDU:2025-03454 (CVE-2024-13009)
Уязвимость контейнера сервлетов Eclipse Jetty, связанная с неконтролируемым потреблением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-03-27
Описание
Уязвимость контейнера сервлетов Eclipse Jetty связана с неконтролируемым потреблением ресурсов в функции ThreadLimitHandler.getRemote(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedRed Hat AMQ Broker (7)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)OpenShift ServerlessSUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Development Tools (15 SP5)Red Hat Build of KeycloakSuse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Package Hub (15 SP6)OpenSUSE Leap (15.6)SUSE Linux Enterprise Module for Development Tools (15 SP6)Red Hat build of Apache Camel for Spring Boot (3)Red Hat build of Apache Camel for Spring Boot (4)Jetty (от 9.312 до 9.4.56)Jetty (от 12.0.0 до 12.0.9)Jetty (от 11.0.0 до 11.0.24)Jetty (от 10.0.0 до 10.0.24)Red Hat AMQ ClientsRed Hat build of Apicurio Registry (2)Red Hat build of Debezium (2)ОСОН ОСнова Оnyx (до 2.13)
Способ устранения
Использование рекомендаций:
https://github.com/jetty/jetty.project/pull/11723
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-jetty-cve-2024-13009-cve-2024-8184-cve-2024-6762-cve-2024-6763/?sphrase_id=1075869
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-8184
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-8184
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-8184.html
Обновление программного обеспечения jetty9 до версии 9.4.57+repack-0+deb11u2.osnova2u1
Оценка CVSS
| Балл | 6.8 — средняя опасность |
Источники и патчи