CVE编号
CVE-2015-2080利用情况
暂无补丁情况
官方补丁披露时间
2016-10-08漏洞描述
Eclipse Jetty 是 Eclipse 基金会的一个开源的、基于 Java 的 Web 服务器和 Java Servlet 容器。 Eclipse Jetty 9.2.9.v20150224之前版本中的异常处理代码功能存在安全漏洞。远程攻击者可借助 HTTP头中的非法字符利用该漏洞获取进程内存的敏感信息。影响版本: 9.2.3 <= Jetty < 9.2.9 Jetty = 9.3.0.M0、9.3.0.M1
解决建议
建议升级该组件至最新版本。
参考链接 |
|
|---|---|
| http://dev.eclipse.org/mhonarc/lists/jetty-announce/msg00074.html | |
| http://dev.eclipse.org/mhonarc/lists/jetty-announce/msg00075.html | |
| http://lists.fedoraproject.org/pipermail/package-announce/2015-March/151804.html | |
| http://packetstormsecurity.com/files/130567/Jetty-9.2.8-Shared-Buffer-Leakage.html | |
| http://seclists.org/fulldisclosure/2015/Mar/12 | |
| http://www.securityfocus.com/archive/1/534755/100/1600/threaded | |
| http://www.securityfocus.com/bid/72768 | |
| http://www.securitytracker.com/id/1031800 | |
| https://blog.gdssecurity.com/labs/2015/2/25/jetleak-vulnerability-remote-leak... | |
| https://github.com/eclipse/jetty.project/blob/jetty-9.2.x/advisories/2015-02-... | |
| https://security.netapp.com/advisory/ntap-20190307-0005/ |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.2.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.2.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.2.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.2.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.2.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.2.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jetty | 9.3.0 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian | DPKG | * |
Up to (excluding) 0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedoraproject | fedora | 22 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-ant | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-httpservice | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-io | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-jaspi | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-javadoc | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-jndi | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-project | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-proxy | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_22 | jetty-websocket-common | * |
Up to (excluding) 9.2.9-1.fc22 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
还没有评论,来说两句吧...