BDU:2023-00477: Уязвимость контейнера сервлетов Eclipse Jetty, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю привести к сбоям в сценарии прокси

Описание уязвимости Уязвимость контейнера сервлетов Eclipse Jetty существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, привести к сбоям в сценарии прокси
Вендор Сообщество свободного программного обеспечения, Eclipse Foundation, АО "НППКТ"
Наименование ПО Debian GNU/Linux, Jetty, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО 10 (Debian GNU/Linux), 11 (Debian GNU/Linux), от 11.0.0 до 11.0.9 включительно (Jetty), до 9.4.46 (Jetty), от 10.0.0 до 10.0.9 (Jetty), до 2.8 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки CWE-20
Класс уязвимости Уязвимость кода
Дата выявления 07.07.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 2,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-2047

Для Eclipse Jetty:
https://github.com/eclipse/jetty.project/security/advisories/GHSA-cj7v-27pg-wf7q

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3+deb11u1osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются