正文

Jetty 通用 Servlets 组件 ConcatServlet 信息泄露漏洞(CVE-2021-28169)

admin
admin V管理员 /0 评论 /13 阅读
0421
此篇文章发布距今已超过1102天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2021-28169

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-06-09
漏洞描述
Eclipse Jetty 是 Eclipse 基金会的一个开源的、基于Java 的 Web 服务器和 Java Servlet 容器。 Eclipse Jetty 中存在信息泄露漏洞,该漏洞源于通过对 ConcatServlet 的双重编码路径请求访问 WEB-INF 目录中的受保护资源。
影响版本: Jetty <= 9.4.41 10.0.0 <= Jetty < 10.0.3 11.0.0 <= Jetty < 11.0.3
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/eclipse/jetty.project/security/advisories/GHSA-26vr-8j45-3r4w
参考链接
https://github.com/eclipse/jetty.project/security/advisories/GHSA-gwcr-j4wh-j3cq
https://lists.apache.org/thread.html/r04a4b4553a23aff26f42635a6ae388c3b162aab...
https://lists.apache.org/thread.html/r234f6452297065636356f43654cdacef565b8f9...
https://lists.apache.org/thread.html/r2721aba31a8562639c4b937150897e24f78f747...
https://lists.apache.org/thread.html/r284de9c5399486dfff12ab9e7323ca720dd7019...
https://lists.apache.org/thread.html/r29678972c3f8164b151fd7a5802785d402e530c...
https://lists.apache.org/thread.html/r32b0b640ad2be3b858f0af51c68a7d5c5a66a46...
https://lists.apache.org/thread.html/r33eb06b05afbc7df28d31055cae0cb3fd36cab8...
https://lists.apache.org/thread.html/r67c4f90658fde875521c949448c54c98517beec...
https://lists.apache.org/thread.html/r8a1a332899a1f92c8118b0895b144b27a78e3f2...
https://lists.apache.org/thread.html/r91e34ff61aff8fd25a3f2a21539597c6ef7589a...
https://lists.apache.org/thread.html/rb1292d30462b9baedea7c5d9594fc75990d9aa0...
https://lists.apache.org/thread.html/rbefa055282d52d6b58d29a79fbb0be65ab0a38d...
https://lists.apache.org/thread.html/rd5b52362f5edf98e0dcab6541a381f571cccc05...
https://lists.apache.org/thread.html/rddbb4f8d5db23265bb63d14ef4b3723b438abc1...
https://lists.apache.org/thread.html/ref1c161a1621504e673f9197b49e6efe5a33ce3...
https://lists.apache.org/thread.html/rf36f1114e84a3379b20587063686148e2d5a39a...
https://lists.apache.org/thread.html/rfff6ff8ffb31e8a32619c79774def44b6ffbb03...
https://lists.debian.org/debian-lts-announce/2021/06/msg00017.html
https://security.netapp.com/advisory/ntap-20210727-0009/
https://www.debian.org/security/2021/dsa-4949
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 eclipse jetty * Up to
(excluding)
9.4.41
运行在以下环境
应用 eclipse jetty * From
(including)
10.0.0 		Up to
(excluding)
10.0.3
运行在以下环境
应用 eclipse jetty * From
(including)
11.0.0 		Up to
(excluding)
11.0.3
运行在以下环境
系统 debian_10 jetty9 * Up to
(excluding)
9.4.16-0+deb10u1
运行在以下环境
系统 debian_11 jetty9 * Up to
(excluding)
9.4.39-1
运行在以下环境
系统 debian_9 jetty9 * Up to
(excluding)
9.2.30-0+deb9u2
运行在以下环境
系统 debian_sid jetty9 * Up to
(excluding)
9.4.39-1
运行在以下环境
系统 opensuse_Leap_15.3 jetty9 * Up to
(excluding)
9.4.42-3.9.1
阿里云评分 3.7
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 无需权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-200 信息暴露