Jetty HttpParser エラーによるリモートメモリ漏洩
high Nessus プラグイン ID 81576
Language:
概要
リモート Web サーバーは、リモートメモリ漏洩脆弱性の影響を受けます。説明
Jetty のリモートインスタンスは、ヘッダー値にある不正文字の不適切な処理により、HttpParser モジュールのリモートメモリ漏洩の脆弱性から影響を受けます。不正な文字が HTTP リクエスト内にある場合、Jetty は前のリクエストで使用した共有バッファに応答を書き込みます。Jetty からクライアントへの応答にはこの共有バッファが含まれており、そこには前のリクエストからの機密データが収容されている可能性があります。攻撃者は、可変長の不正文字を含む特別に細工されたリクエストを使って、機密ヘッダーデータ(例:クッキー、認証トークン)や機密 POST データ(例:認証情報)を盗む可能性があります。ソリューション
Jetty 9.2.9.v20150224 以降にアップグレードしてください。Jetty 9.3.x,に関しては、ソリューションベンダーへ連絡してください。参考資料
http://www.nessus.org/u?b8e07913
プラグインの詳細
深刻度: High
ID: 81576
ファイル名: jetty_cve-2015-2080.nasl
バージョン: 1.7
タイプ: remote
ファミリー: Web Servers
公開日: 2015/2/27
更新日: 2019/11/26
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2015-2080
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mortbay:jetty
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2015/2/24
脆弱性公開日: 2015/2/24
参照情報
CVE: CVE-2015-2080
BID: 72768