Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5198-1 jetty9

Bulletin d'alerte Debian

DSA-5198-1 jetty9 -- Mise à jour de sécurité

Date du rapport :

2 août 2022

Paquets concernés :

jetty9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-2047, CVE-2022-2048.

Plus de précisions :

Deux vulnérabilités de sécurité ont été découvertes dans Jetty, un moteur de servlet Java et serveur web.

• CVE-2022-2047

  Dans Eclipse Jetty, l'analyse du segment authority d'un schéma d'URI HTTP, la classe HttpURI de Jetty, détecte incorrectement une entrée non valable comme nom d'hôte. Cela peut conduire à des échecs dans un scénario de mandataire.

• CVE-2022-2048

  Dans l'implémentation du serveur HTTP/2 Eclipse Jetty, lors de la rencontre d'une requête HTTP/2 non valable, le traitement de l'erreur contient un bogue qui peut finir par ne pas nettoyer correctement les connexions actives et les ressources associées. Cela peut conduire à un scénario de déni de service où il reste insuffisamment de ressources pour traiter les requêtes correctes.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 9.4.39-3+deb11u1.

Nous vous recommandons de mettre à jour vos paquets jetty9.

Pour disposer d'un état détaillé sur la sécurité de jetty9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jetty9.