Vulnerabilidad en Eclipse Jetty (CVE-2017-7656)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/06/2018
Última modificación:
07/11/2023
Descripción
En Eclipse Jetty, en versiones 9.2.x y anteriores, versiones 9.3.x (todas las configuraciones) y versiones 9.4.x (configuración personalizada con el cumplimiento RFC2616 habilitado), HTTP/0.9 se gestiona de forma incorrecta. Una línea de petición de estilo HTTP/1 (p.ej., método espacio URI espacio versión) que declara una versión de HTTP/0.9 se aceptó y trató como petición 0.9. Si se implementa tras un intermediario que también aceptó y pasó la versión 0.9 (pero no actuó en consecuencia), la respuesta enviada podría ser interpretada por el intermediario como cabeceras HTTP/1. Esto podría utilizarse para envenenar la caché si el servidor permite que el cliente de origen genere contenido arbitrario en la respuesta.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 9.2.26 (incluyendo) | |
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 9.3.0 (incluyendo) | 9.3.24 (excluyendo) |
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 9.4.0 (incluyendo) | 9.4.11 (excluyendo) |
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securitytracker.com/id/1041194
- https://bugs.eclipse.org/bugs/show_bug.cgi?id=535667
- https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272%40%3Cissues.activemq.apache.org%3E
- https://lists.apache.org/thread.html/708d94141126eac03011144a971a6411fcac16d9c248d1d535a39451%40%3Csolr-user.lucene.apache.org%3E
- https://lists.apache.org/thread.html/9317fd092b257a0815434b116a8af8daea6e920b6673f4fd5583d5fe%40%3Ccommits.druid.apache.org%3E
- https://lists.apache.org/thread.html/rbf4565a0b63f9c8b07fab29352a97bbffe76ecafed8b8555c15b83c6%40%3Cissues.maven.apache.org%3E
- https://security.netapp.com/advisory/ntap-20181014-0001/
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03953en_us
- https://www.debian.org/security/2018/dsa-4278
- https://www.oracle.com//security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpuoct2020.html
- https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html