自己報告のバージョン番号によると、リモート Web サーバーでホストされている Jetty のインスタンスは、9.4.39 より前、10.0.2 より前の 10.0.x、11.0.2 より前の 11.0.x です。そのため、以下の複数の脆弱性の影響を受けます。

 - 大きな無効な TLS フレームで CPU 使用率が 100％ に達する問題。(CVE-2021-28165)

 - エンコードされたパスでアクセスした場合に、WEB-INF ディレクトリ内の保護されたリソースへのアクセスが許可される問題。(CVE-2021-28164)

 - シンボリックリンクされた webapps ディレクトリが使用される場合の問題。webapps ディレクトリのコンテンツが静的 webapp としてデプロイされます。(CVE-2021-28163)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.249.31.0.1 より前の 2.249.x、および 2.277.3.1 より前の 2.x です。このため、Winstone-Jetty の問題に起因するサービス拒否の脆弱性の影響を受けます。認証されていないリモートの攻撃者が、大きな無効な SSL/TLS フレームを送信してこれを悪用し、システムの応答を停止させる可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているJenkinsのバージョンは、2.277.3より前のJenkins LTSまたは2.286より前のJenkins weeklyです。したがって、脆弱性の影響を受けます。

  - Eclipse Jetty 7.2.2〜9.4.38、10.0.0.alpha0〜 10.0.1および11.0.0.alpha0〜 11.0.1では、大量の無効なTLSフレームを受信すると、CPU使用率が100％に達する可能性があります。（CVE-2021-28165）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

したがって、ALAS2-2025-2871 のアドバイザリに記載されている脆弱性の影響を受けます。

    Eclipse Jetty 7.2.2 から 9.4.38、10.0.0.alpha0 から 10.0.1、および 11.0.0.alpha0 から 11.0.1では、大きな無効な TLS フレームを受信すると、CPU 使用率が 100% に達する可能性があります。CVE-2021-28165

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2021:2005-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Eclipse Jetty 9.4.32 ～ 9.4.38、10.0.0.beta2 ～ 10.0.1、および 11.0.0.beta2 ～ 11.0.1 で、ユーザーがシンボリックリンクである webapps ディレクトリを使用する場合、webapps ディレクトリのコンテンツは静的な webapp として展開されます。これにより、Webアプリケーション自体や、そのディレクトリにある可能性のある他のものに誤ってサービスを提供します。
    (CVE-2021-28163)

  - Eclipse Jetty 9.4.37.v20210219 〜 9.4.38.v20210224 では、デフォルトのコンプライアンスモードにより、％2e または ％2e％2e セグメントを含む URI を持つリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスできます。たとえば、/context/%2e/WEB-INF/web.xml へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28164)

  - Eclipse Jetty 7.2.2〜9.4.38、10.0.0.alpha0〜 10.0.1および11.0.0.alpha0〜 11.0.1では、大量の無効なTLSフレームを受信すると、CPU使用率が100％に達する可能性があります。(CVE-2021-28165)

  - Eclipse Jetty バージョン 9.4.40 以前、10.0.2 以前、11.0.2 以前の場合、二重にエンコードされたパスを持つ ConcatServlet へのリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスする可能性があります。たとえば、「/concat?/%2557EB-INF/web.xml」へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28169)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのRedhat Enterprise Linux 7 / 8ホストにインストールされているパッケージは、RHSA-2021：1551アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - golang：math / big：非常に大きな数の再帰的除算中のパニック（CVE-2020-28362）

  - jenkins: エージェント関連のREST APIにおける型検証の欠如（CVE-2021-21639）

  - jenkins: ビュー名検証バイパス（CVE-2021-21640）

  - jetty：シンボリックリンクディレクトリがwebappディレクトリの内容を公開します（CVE-2021-28163）

  - jetty：無効で大きなTLSフレームを受信した際のリソース枯渇（CVE-2021-28165）

  - golang：crypto/elliptic：P-224カーブでの不適切な操作 (CVE-2021-3114)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Eclipse Jetty 7.2.2〜9.4.38、10.0.0.alpha0〜 10.0.1および11.0.0.alpha0〜 11.0.1では、大量の無効なTLSフレームを受信すると、CPU使用率が100％に達する可能性があります。(CVE-2021-28165)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートのRedhat Enterprise Linux 7ホストにインストールされているパッケージは、RHSA-2021：1509アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jetty：シンボリックリンクディレクトリがwebappディレクトリの内容を公開します（CVE-2021-28163）

  - jetty：曖昧なパスがWEB-INFにアクセスする可能性があります（CVE-2021-28164）

  - jetty：無効で大きなTLSフレームを受信した際のリソース枯渇（CVE-2021-28165）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLED15/SLES15 ホストには、SUSE-SU-2021:2005-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Eclipse Jetty 9.4.32 ～ 9.4.38、10.0.0.beta2 ～ 10.0.1、および 11.0.0.beta2 ～ 11.0.1 で、ユーザーがシンボリックリンクである webapps ディレクトリを使用する場合、webapps ディレクトリのコンテンツは静的な webapp として展開されます。これにより、Web アプリケーション自体や、そのディレクトリにある可能性のある他のものに誤ってサービスを提供します。
    (CVE-2021-28163)

  - Eclipse Jetty 9.4.37.v20210219 〜 9.4.38.v20210224 では、デフォルトのコンプライアンスモードにより、％2e または ％2e％2e セグメントを含む URI を持つリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスできます。たとえば、/context/%2e/WEB-INF/web.xml へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28164)

  - Eclipse Jetty 7.2.2〜9.4.38、10.0.0.alpha0〜 10.0.1および11.0.0.alpha0〜 11.0.1では、大量の無効なTLSフレームを受信すると、CPU使用率が100％に達する可能性があります。(CVE-2021-28165)

  - Eclipse Jetty バージョン 9.4.40 以前、10.0.2 以前、11.0.2 以前の場合、二重にエンコードされたパスを持つ ConcatServlet へのリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスする可能性があります。たとえば、「/concat?/%2557EB-INF/web.xml」へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28169)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
112993	Jetty < 9.4.39 の複数の脆弱性	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
112994	Jetty 10.0.x < 10.0.2 の複数の脆弱性	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
112995	Jetty 11.0.x < 11.0.2 の複数の脆弱性	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
155587	Jenkins Enterprise および Operations Center < 2.249.31.0.1/2.277.3.1 DOS (CloudBees セキュリティアドバイザリ 2021 年 4 月 20 日)	Nessus	CGI abuses	2021/11/18	2024/6/4	high
148975	Jenkins LTS < 2.277.3 / Jenkins weekly < 2.286	Nessus	CGI abuses	2021/4/23	2024/6/5	high
237475	Amazon Linux 2 : jetty (ALAS-2025-2871)	Nessus	Amazon Linux Local Security Checks	2025/5/29	2025/5/29	high
151741	openSUSE 15 セキュリティ更新 : jetty-minimal(openSUSE-SU-2021:2005-1)	Nessus	SuSE Local Security Checks	2021/7/16	2022/1/20	medium
149793	RHEL 7/8：OpenShift Container Platform 4.7.11 (RHSA-2021：1551)	Nessus	Red Hat Local Security Checks	2021/5/20	2024/11/8	medium
223714	Linux Distros のパッチ未適用の脆弱性: CVE-2021-28165	Nessus	Misc.	2025/3/4	2025/8/18	high
149318	RHEL 7：rh-eclipse-jetty（RHSA-2021：1509)	Nessus	Red Hat Local Security Checks	2021/5/6	2024/11/7	medium
150895	SUSE SLED15/ SLES15セキュリティ更新プログラム: jetty-minimal(SUSE-SU-2021:2005-1)	Nessus	SuSE Local Security Checks	2021/6/21	2023/7/13	medium

検出

プラグインの検索

high

high

high

high

high

high

medium

medium

high

medium

medium