Debian DSA-5507-1 : jetty9 - セキュリティ更新
medium Nessus プラグイン ID 182198
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートの Debian 11 / 12 ホストには、dsa-5507 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。Java ベースの Web サーバーおよびサーブレットエンジンである Jetty に、複数のセキュリティの脆弱性が見つかりました。org.eclipse.jetty.servlets.CGI クラスが廃止されました。使用することは潜在的に安全ではありません。Jetty の Upstream 開発者は、代わりに Fast CGI を使用することを推奨しています。CVE-2023-36479も参照してください。CVE-2023-26048 影響を受けるバージョンで、マルチパートをサポートするサーブレット (例:「@ MultipartConfig」で注釈付け) は、クライアントが名前はあるがファイル名がなく、コンテンツが非常に大きいパートを持つマルチパートリクエストを送信するとき、「HttpServletRequest.getParameter()」または「HttpServletRequest.getParts()」を呼び出すため、「OutOfMemoryError」を引き起こす可能性があります。
これは、パーツのコンテンツ全体をディスクにストリーミングしなければならない「fileSizeThreshold=0」のデフォルト設定でも発生します。CVE-2023-26049 Jetty の非標準のクッキー解析により、攻撃者が他のクッキー内にクッキーをスマグリングしたり、クッキー解析メカニズムを改ざんして意図しない動作を実行したりする可能性があります。CVE-2023-40167 このバージョンより前の Jetty は HTTP/1 ヘッダーフィールドにおいて content-length 値の直前に「+」文字が入力されることを受け入れます。これは、RFC で許可されているよりも許容度が高く、他のサーバーでは通常このようなリクエストは、400 応答で拒否します。既知の悪用されるシナリオはありませんが、Jetty がこのような 400 応答を送信した後に接続を閉じないサーバーと組み合わせて使用される場合、リクエストスマグリングが発生する可能性があります。CVE-2023-36479 非常に特殊なコマンド構造を持つ CgiServlet のユーザーは、間違ったコマンドを実行する可能性があります。ユーザーが org.eclipse.jetty.servlets.CGI Servlet に対して名前にスペースを含むバイナリのリクエストを送信すると、サーブレットはコマンドを引用符で囲むことでコマンドをエスケープします。この引用符で囲まれたコマンドに、オプションのコマンドプレフィックスが追加され、それが Runtime.exec を呼び出すことで実行されます。ユーザーが指定した元のバイナリ名に引用符とそれに続くスペースが含まれている場合、結果のコマンドラインには複数のトークンが含まれることになります。CVE-2023-41900 Jetty は、弱い認証に脆弱です。もし、Jetty の「OpenIdAuthenticator」がネスト化されたオプションの「LoginService」を使用し、その「LoginService」がすでに認証されているユーザーを取り消すことを決定した場合でも、現在のリクエストはそのユーザーを認証済みとして扱います。その後、認証情報はセッションからクリアされるため、その後のリクエストは認証済みとしては扱われません。そのため、以前に認証されたセッションのリクエストが、「LoginService」によって拒否された後に、認証をバイパスする可能性があります。これは、ネスト化された「LoginService」を設定し、その「LoginService」が以前に認証されたユーザーを拒否できる jetty-openid の使用に影響を与えます。旧安定版 (oldstable) ディストリビューション (bullseye) では、これらの問題はバージョン 9.4.39-3+deb11u2 で修正されています。安定版 (stable) ディストリビューション (bookworm) では、これらの問題はバージョン 9.4.50-4+deb12u1 で修正されています。jetty9 パッケージをアップグレードすることを推奨します。jetty9 の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。https://security-tracker.debian.org/tracker/jetty9
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
jetty9 パッケージをアップグレードしてください。安定版 (stable) ディストリビューション (bookworm) では、これらの問題はバージョン 9.4.50-4+deb12u1 で修正されています。
参考資料
https://security-tracker.debian.org/tracker/source-package/jetty9
https://www.debian.org/security/2023/dsa-5507
https://security-tracker.debian.org/tracker/CVE-2023-26048
https://security-tracker.debian.org/tracker/CVE-2023-26049
https://security-tracker.debian.org/tracker/CVE-2023-36479
https://security-tracker.debian.org/tracker/CVE-2023-40167
https://security-tracker.debian.org/tracker/CVE-2023-41900
プラグインの詳細
深刻度: Medium
ID: 182198
ファイル名: debian_DSA-5507.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2023/9/29
更新日: 2025/1/24
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2023-40167
CVSS v3
リスクファクター: Medium
基本値: 5.3
現状値: 4.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libjetty9-java, p-cpe:/a:debian:debian_linux:jetty9, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:libjetty9-extra-java
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2023/9/28
脆弱性公開日: 2023/4/18
参照情報
CVE: CVE-2023-26048, CVE-2023-26049, CVE-2023-36479, CVE-2023-40167, CVE-2023-41900
IAVB: 2023-B-0082-S