Bulletin d'alerte Debian
DSA-5198-1 jetty9 -- Mise à jour de sécurité
- Date du rapport :
- 2 août 2022
- Paquets concernés :
- jetty9
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2022-2047, CVE-2022-2048.
- Plus de précisions :
-
Deux vulnérabilités de sécurité ont été découvertes dans Jetty, un moteur de servlet Java et serveur web.
- CVE-2022-2047
Dans Eclipse Jetty, l'analyse du segment
authority
d'un schéma d'URI HTTP, la classe HttpURI de Jetty, détecte incorrectement une entrée non valable comme nom d'hôte. Cela peut conduire à des échecs dans un scénario de mandataire. - CVE-2022-2048
Dans l'implémentation du serveur HTTP/2 Eclipse Jetty, lors de la rencontre d'une requête HTTP/2 non valable, le traitement de l'erreur contient un bogue qui peut finir par ne pas nettoyer correctement les connexions actives et les ressources associées. Cela peut conduire à un scénario de déni de service où il reste insuffisamment de ressources pour traiter les requêtes correctes.
Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 9.4.39-3+deb11u1.
Nous vous recommandons de mettre à jour vos paquets jetty9.
Pour disposer d'un état détaillé sur la sécurité de jetty9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jetty9.
- CVE-2022-2047