Debians sikkerhedsbulletin
DSA-5198-1 jetty9 -- sikkerhedsopdatering
- Rapporteret den:
- 2. aug 2022
- Berørte pakker:
- jetty9
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2022-2047, CVE-2022-2048.
- Yderligere oplysninger:
-
To sikkerhedsproblemer blev opdaget i Jetty, en Java-servlet-motor og -webserver.
- CVE-2022-2047
I Eclipse Jetty, ved fortolkning af autoritetssegementet hørende til en http-scheme-URI, genkendte Jetty HttpURI-klassen fejlagtigt ugyldigt inddata som et værtsnavn. Det kunne føre til fejl i et proxyscenarie.
- CVE-2022-2048
I Eclipse Jettys HTTP/2-serverimplementering, når der blev stødt på en ugyldig HTTP/2-forespørgsel, var der en fejl i fejlhåndteringen, der kunne medføre at de aktive forbindelser og tilhørende ressourcer ikke blev ryddet op på korrekt vis. Det kunne medføre et lammelsesangreb, hvor der ikke var tilstrækkeligt med ressourcer tilbage til at behandle korrekte forespørgsler.
I den stabile distribution (bullseye), er disse problemer rettet i version 9.4.39-3+deb11u1.
Vi anbefaler at du opgraderer dine jetty9-pakker.
For detaljeret sikkerhedsstatus vedrørende jetty9, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/jetty9
- CVE-2022-2047