自己報告のバージョン番号によると、リモート Web サーバーでホストされている Jetty のインスタンスは、9.4.41 より前、10.0.3 より前の 10.0.x、11.0.3 より前の 11.0.x です。そのため、以下の複数の脆弱性の影響を受けます。

 -SessionListener＃sessionDestroyed() メソッドの例外後にセッションを無効化できない問題。(CVE-2021-34428)

 - エンコードされたパスでアクセスした場合に、WEB-INF ディレクトリ内の保護されたリソースへのアクセスが許可される問題。(CVE-2021-28169)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのRedhat Enterprise Linux 7/8ホストにインストールされているパッケージは、RHSA-2021：3758 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jetty: ConcatServlet および WelcomeFilter へのリクエストが WEB-INF ディレクトリ内の保護されたリソースにアクセスできます (CVE-2021-28169)

  - golang: archive/zip：無効な形式のアーカイブは、パニックまたはメモリの枯渇を引き起こす可能性があります（CVE-2021-33196）

  - jetty: SessionListener により、セッションが無効化されてログアウトが中断されるのを防ぐことができます (CVE-2021-34428)

  - openvswitch：RAW_ENCAPアクションのデコード中のdecode_NXAST_RAW_ENCAPのメモリ解放後使用（Use-After-Free）（CVE-2021-36980）

  -coreos-installer：/boot/ignition{,/config.ign} のアクセス権限を制限します (CVE-2021-3917)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

したがって、ALAS2-2024-2408 のアドバイザリに記載されている脆弱性の影響を受けます。

  - Eclipse Jetty バージョン 9.4.40 以前、10.0.2 以前、11.0.2 以前の場合、二重にエンコードされたパスを持つ ConcatServlet へのリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスする可能性があります。たとえば、「/concat?/%2557EB-INF/web.xml」へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28169)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2021:2005-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Eclipse Jetty 9.4.32 ～ 9.4.38、10.0.0.beta2 ～ 10.0.1、および 11.0.0.beta2 ～ 11.0.1 で、ユーザーがシンボリックリンクである webapps ディレクトリを使用する場合、webapps ディレクトリのコンテンツは静的な webapp として展開されます。これにより、Webアプリケーション自体や、そのディレクトリにある可能性のある他のものに誤ってサービスを提供します。
    (CVE-2021-28163)

  - Eclipse Jetty 9.4.37.v20210219 〜 9.4.38.v20210224 では、デフォルトのコンプライアンスモードにより、％2e または ％2e％2e セグメントを含む URI を持つリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスできます。たとえば、/context/%2e/WEB-INF/web.xml へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28164)

  - Eclipse Jetty 7.2.2〜9.4.38、10.0.0.alpha0〜 10.0.1および11.0.0.alpha0〜 11.0.1では、大量の無効なTLSフレームを受信すると、CPU使用率が100％に達する可能性があります。(CVE-2021-28165)

  - Eclipse Jetty バージョン 9.4.40 以前、10.0.2 以前、11.0.2 以前の場合、二重にエンコードされたパスを持つ ConcatServlet へのリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスする可能性があります。たとえば、「/concat?/%2557EB-INF/web.xml」へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28169)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLED15/SLES15 ホストには、SUSE-SU-2021:2005-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Eclipse Jetty 9.4.32 ～ 9.4.38、10.0.0.beta2 ～ 10.0.1、および 11.0.0.beta2 ～ 11.0.1 で、ユーザーがシンボリックリンクである webapps ディレクトリを使用する場合、webapps ディレクトリのコンテンツは静的な webapp として展開されます。これにより、Web アプリケーション自体や、そのディレクトリにある可能性のある他のものに誤ってサービスを提供します。
    (CVE-2021-28163)

  - Eclipse Jetty 9.4.37.v20210219 〜 9.4.38.v20210224 では、デフォルトのコンプライアンスモードにより、％2e または ％2e％2e セグメントを含む URI を持つリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスできます。たとえば、/context/%2e/WEB-INF/web.xml へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28164)

  - Eclipse Jetty 7.2.2〜9.4.38、10.0.0.alpha0〜 10.0.1および11.0.0.alpha0〜 11.0.1では、大量の無効なTLSフレームを受信すると、CPU使用率が100％に達する可能性があります。(CVE-2021-28165)

  - Eclipse Jetty バージョン 9.4.40 以前、10.0.2 以前、11.0.2 以前の場合、二重にエンコードされたパスを持つ ConcatServlet へのリクエストが、WEB-INF ディレクトリ内の保護されたリソースにアクセスする可能性があります。たとえば、「/concat?/%2557EB-INF/web.xml」へのリクエストにより、web.xml ファイルを取得できます。これにより、Web アプリケーションの実装に関する機密情報が漏洩する可能性があります。(CVE-2021-28169)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Steven Seeley氏が、JavaサーブレットエンジンおよびWebサーバーであるjettyで、ConcatServletおよびWelcomeFilterへのリクエストがWEB-INFディレクトリ内の保護されたリソースにアクセスできることを発見しました。攻撃者が、Webアプリケーションの実装に関する機密情報にアクセスする可能性があります。

Debian 9 'Stretch'では、この問題はバージョン9.2.30-0+deb9u2で修正されています。

jetty9パッケージをアップグレードすることを推奨します。

jetty9の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/jetty9

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
112990	Jetty < 9.4.41 の複数の脆弱性	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	medium
112991	Jetty 10.0.x < 10.0.3 の複数の脆弱性	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	medium
112992	Jetty 11.0.x < 11.0.3 の複数の脆弱性	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	medium
165134	RHEL 7/8：OpenShift Container Platform 4.9.0パッケージおよび（RHSA-2021：3758)	Nessus	Red Hat Local Security Checks	2022/9/15	2024/6/4	medium
187843	Amazon Linux 2: jetty（ALAS-2024-2408）	Nessus	Amazon Linux Local Security Checks	2024/1/9	2024/1/9	medium
151741	openSUSE 15 セキュリティ更新 : jetty-minimal(openSUSE-SU-2021:2005-1)	Nessus	SuSE Local Security Checks	2021/7/16	2022/1/20	medium
150895	SUSE SLED15/ SLES15セキュリティ更新プログラム: jetty-minimal(SUSE-SU-2021:2005-1)	Nessus	SuSE Local Security Checks	2021/6/21	2023/7/13	medium
150904	Debian DLA-2688-1：jetty9のセキュリティ更新	Nessus	Debian Local Security Checks	2021/6/21	2021/6/24	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

medium

medium

medium