検出

Debian DSA-5507-1: jetty9 - セキュリティ更新

medium Nessus プラグイン ID 182198

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 / 12 ホストには、dsa-5507 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Jetty は、java ベースの Web サーバーおよびサーブレットエンジンです。影響を受けるバージョンで、マルチパートをサポートするサーブレット (例:「@ MultipartConfig」で注釈付け) は、クライアントが名前はあるがファイル名がなく、コンテンツが非常に大きいパートを持つマルチパートリクエストを送信するとき、「HttpServletRequest.getParameter()」または「HttpServletRequest.getParts()」を呼び出すため、「OutOfMemoryError」を引き起こす可能性があります。これは、パーツのコンテンツ全体をディスクにストリーミングしなければならない「fileSizeThreshold=0」のデフォルト設定でも発生します。攻撃者のクライアントが大きなマルチパートリクエストを送信し、サーバーに「OutOfMemoryError」をスローさせる可能性があります。ただし、サーバーは「OutOfMemoryError」後に回復してサービスを継続できる場合があります -- これには時間がかかる場合があります。この問題には、バージョン 9.4.51、10.0.14 および 11.0.14でパッチが適用されています。ユーザーにアップグレードすることを推奨します。
 アップグレードできないユーザーは、マルチパートパラメーター「maxRequestSize」を負でない値に設定する必要があるため、マルチパートコンテンツ全体が制限されます (ただし、メモリに読み込まれます)。
 (CVE-2023-26048)

 - Jetty は、java ベースの Web サーバーおよびサーブレットエンジンです。Jetty の非標準のクッキー解析により、攻撃者が他のクッキー内にクッキーをスマグリングしたり、クッキー解析メカニズムを改ざんして意図しない動作を実行したりする可能性があります。Jetty が `` (二重引用符) で始まるクッキー VALUE を見つけた場合、セミコロンに遭遇しても、最後の引用符が見えるまでクッキー文字列の読み取りを続けます。したがって、クッキーヘッダーは次のようになります。「DISPLAY_LANGUAGE=b; JSESSIONID=1337; c=d」は、3 つの別々のクッキーの代わりに、名前 DISPLAY_LANGUAGE および値 b; JSESSIONID=1337; c=d を持つ 1 つのクッキーとして解析されます。JSESSIONID が HttpOnly クッキーであり、その DISPLAY_LANGUAGE クッキーの値がページにレンダリングされる場合、攻撃者が JSESSIONID クッキーを DISPLAY_LANGUAGE クッキーにスマグリングし、それを漏洩させる可能性があるため、これはセキュリティに影響を与えます。これは、中間者がクッキーに基づいていくつかのポリシーを実行している場合に重要です。そのため、スマグリングされたクッキーは、そのポリシーをバイパスする可能性がありますが、依然として Jetty サーバーまたはそのロギングシステムに表示されます。この問題はバージョン 9.4.51、10.0.14、11.0.14、および 12.0.0.beta0 で対処されており、ユーザーはアップグレードすることが推奨されます。この問題についての既知の回避策はありません。
 (CVE-2023-26049)

 - Eclipse Jetty Canonical Repository は、Jetty プロジェクトの正規リポジトリです。非常に特殊なコマンド構造を持つ CgiServlet のユーザーは、間違ったコマンドを実行する可能性があります。ユーザーが org.eclipse.jetty.servlets.CGI Servlet に対して名前にスペースを含むバイナリのリクエストを送信すると、サーブレットはコマンドを引用符で囲むことでコマンドをエスケープします。この引用符で囲まれたコマンドに、オプションのコマンドプレフィックスが追加され、それが Runtime.exec を呼び出すことで実行されます。ユーザーが指定した元のバイナリ名に引用符とそれに続くスペースが含まれている場合、結果のコマンドラインには複数のトークンが含まれることになります。この問題には、バージョン 9.4.52、10.0.16、11.0.16 および 12.0.0-beta2 で修正されました。
 (CVE-2023-36479)

 - Jetty は、Java ベースのウェブサーバーおよびサーブレットエンジンです。バージョン 9.4.52、10.0.16、11.0.16、12.0.1 より前では、Jetty は HTTP/1 ヘッダーフィールドにおいて content-length 値の直前に「+」文字が入力されることを受け入れます。これは、RFC で許可されているよりも許容度が高く、他のサーバーでは通常このようなリクエストは、400 応答で拒否します。既知の悪用されるシナリオはありませんが、Jetty がこのような 400 応答を送信した後に接続を閉じないサーバーと組み合わせて使用される場合、リクエストスマグリングが発生する可能性があります。バージョン 9.4.52、10.0.16、11.0.16、12.0.1 には、この問題に対するパッチが含まれています。既知の悪用シナリオがないため、回避策はありません。(CVE-2023-40167)

 - Jetty は、Java ベースのウェブサーバーおよびサーブレットエンジンです。バージョン 9.4.21 から 9.4.51、10.0.15、および 11.0.15 は、弱い認証の脆弱性が存在します。もし、Jetty の「OpenIdAuthenticator」がネスト化されたオプションの「LoginService」を使用し、その「LoginService」がすでに認証されているユーザーを取り消すことを決定した場合でも、現在のリクエストはそのユーザーを認証済みとして扱います。その後、認証情報はセッションからクリアされるため、その後のリクエストは認証済みとしては扱われません。そのため、以前に認証されたセッションのリクエストが、「LoginService」によって拒否された後に、認証をバイパスする可能性があります。これは、ネスト化された「LoginService」を設定し、その「LoginService」が以前に認証されたユーザーを拒否できる jetty-openid の使用に影響を与えます。バージョン 9.4.52、10.0.16、および 11.0.16 では、この問題に対するパッチが用意されています。(CVE-2023-41900)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

jetty9 パッケージをアップグレードしてください。

安定版 (stable) ディストリビューション (bookworm) では、これらの問題はバージョン 9.4.50-4+deb12u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/source-package/jetty9

https://www.debian.org/security/2023/dsa-5507

https://security-tracker.debian.org/tracker/CVE-2023-26048

https://security-tracker.debian.org/tracker/CVE-2023-26049

https://security-tracker.debian.org/tracker/CVE-2023-36479

https://security-tracker.debian.org/tracker/CVE-2023-40167

https://security-tracker.debian.org/tracker/CVE-2023-41900

https://packages.debian.org/source/bullseye/jetty9

https://packages.debian.org/source/bookworm/jetty9

プラグインの詳細

深刻度: Medium

ID: 182198

ファイル名: debian_DSA-5507.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2023/9/29

更新日: 2024/3/21

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2023-40167

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:jetty9, p-cpe:/a:debian:debian_linux:libjetty9-extra-java, p-cpe:/a:debian:debian_linux:libjetty9-java, cpe:/o:debian:debian_linux:11.0, cpe:/o:debian:debian_linux:12.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/9/28

脆弱性公開日: 2023/4/18

参照情報

CVE: CVE-2023-26048, CVE-2023-26049, CVE-2023-36479, CVE-2023-40167, CVE-2023-41900

IAVB: 2023-B-0082-S