Bulletin d'alerte Debian

DSA-5198-1 jetty9 -- Mise à jour de sécurité

Date du rapport :
2 août 2022
Paquets concernés :
jetty9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2022-2047, CVE-2022-2048.
Plus de précisions :

Deux vulnérabilités de sécurité ont été découvertes dans Jetty, un moteur de servlet Java et serveur web.

  • CVE-2022-2047

    Dans Eclipse Jetty, l'analyse du segment authority d'un schéma d'URI HTTP, la classe HttpURI de Jetty, détecte incorrectement une entrée non valable comme nom d'hôte. Cela peut conduire à des échecs dans un scénario de mandataire.

  • CVE-2022-2048

    Dans l'implémentation du serveur HTTP/2 Eclipse Jetty, lors de la rencontre d'une requête HTTP/2 non valable, le traitement de l'erreur contient un bogue qui peut finir par ne pas nettoyer correctement les connexions actives et les ressources associées. Cela peut conduire à un scénario de déni de service où il reste insuffisamment de ressources pour traiter les requêtes correctes.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 9.4.39-3+deb11u1.

Nous vous recommandons de mettre à jour vos paquets jetty9.

Pour disposer d'un état détaillé sur la sécurité de jetty9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jetty9.