検出

Debian DLA-2661-1:jetty9 セキュリティ更新

high Nessus プラグイン ID 149518

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

Java サーブレットエンジンである jetty、および Web サーバーで、いくつかの脆弱性が発見されました。攻撃者が、パスワードなどの暗号化された認証情報をローカルユーザーに漏洩させたり、インストールパスを漏洩させたり、ユーザーセッションをハイジャックしたり、同じ場所に配置された Web アプリケーションを改ざんしたりする可能性があります。

CVE-2017-9735

Jetty は、util/security/Password.java のタイミングチャネルの影響を受けやすくなっています。このため、リモートの攻撃者は、正しくないパスワードを拒否するまでの経過時間を監視することで、簡単にアクセス権を取得できます。

CVE-2018-12536

デフォルトのエラー処理を使用して展開された webapp では、動的な url-pattern と一致しない意図的に不良なクエリが来て、最終的に DefaultServlet の静的ファイルサービングによって処理される場合、不良文字によって、DefaultServlet や webapp が使用しているベースリソースディレクトリへのフルパスを含む java.nio.file.InvalidPathException が発生する可能性があります。この InvalidPathException がデフォルトのエラーハンドラーによって処理されると、InvalidPathException メッセージがエラー応答に含まれるため、リクエストしているシステムへの完全なサーバーパスが明らかになります。

CVE-2019-10241

ディレクトリコンテンツのリストの表示用に構成された DefaultServlet または ResourceHandler に対してリモートクライアントが特別にフォーマットされた URL を使用する場合、サーバーは XSS 状態に対して脆弱です。

CVE-2019-10247

任意の OS や Jetty バージョンの組み合わせで実行しているサーバーは、クエストされたパスと一致する Context が見つからない場合に、404 エラーの出力で構成済みの完全修飾ディレクトリベースのリソースの位置を明らかにします。jetty-distribution と jetty-hom eのデフォルトのサーバー動作には、ハンドラーツリーの末尾に DefaultHandler があります。これはこの404エラーを報告する役割を果たし、ユーザーがクリックスルーするためのさまざまな構成済みコンテキストを HTML として提示します。この生成された HTML には、各コンテキストに対する構成済みの完全修飾ディレクトリベースリソースの場所を含む出力が含まれています。

CVE-2020-27216

Unix のようなシステムでは、システムの一時ディレクトリはそのシステムの全ユーザーで共有されます。併置されたユーザーは、共有一時ディレクトリで一時サブディレクトリを作成するプロセスを観察し、一時サブディレクトリの作成を完了するために競合する可能性があります。攻撃者が競合に勝った場合、攻撃者は、WEB-INF/lib jar ファイルや JSP ファイルを含む、Web アプリケーションの解凍に使用されるサブディレクトリに対する読み取りおよび書き込み権限を取得します。この一時ディレクトリ以外でコードが実行された場合、ローカルの権限昇格の脆弱性が発生する可能性があります。

この更新プログラムには、その他のいくつかのバグ修正と改善策も含まれています。
詳細については、upstream 変更ログファイルを参照してください 。

Debian 9 'Stretch' では、これらの問題はバージョン 9.2.30-0+deb9u1 で修正されています。

jetty9 パッケージをアップグレードすることを推奨します。

jetty9の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/jetty9

注:Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2021/05/msg00016.html

https://packages.debian.org/source/stretch/jetty9

https://security-tracker.debian.org/tracker/source-package/jetty9

プラグインの詳細

深刻度: High

ID: 149518

ファイル名: debian_DLA-2661.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2021/5/17

更新日: 2024/1/16

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2019-10247

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2017-9735

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:libjetty9-java, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/5/14

脆弱性公開日: 2017/6/16

参照情報

CVE: CVE-2017-9735, CVE-2018-12536, CVE-2019-10241, CVE-2019-10247, CVE-2020-27216