摘要:
jetty security update
安全等级: Medium
公告ID: KylinSec-SA-2024-4087
发布日期: 2024年11月11日
%global desc \ Jetty是一个100%的Java HTTP服务器和Servlet容器。这意味着你不需要配置和运行一个单独的Web服务器(比如Apache)来使用Java、servlets和JSPs生成动态内容。Jetty是一个功能完备的Web服务器,用于静态和动态内容。与单独的服务器/容器解决方案不同,这意味着你的Web服务器和Web应用程序在同一个进程中运行,没有互联开销和复杂性。此外,作为一个纯Java组件,Jetty可以简单地被包含在你的应用程序中,用于演示、分发或部署。Jetty在所有Java支持的平台上都可用。\ %global extdesc \\ \ 这个软件包包含了
安全修复(修复):
Jetty是一个基于Java的Web服务器和Servlet引擎。在受影响的版本中,具有多部分支持的servlet(例如,用`@MultipartConfig`注解的)调用`HttpServletRequest.getParameter()`或`HttpServletRequest.getParts()`可能会导致客户端发送一个具有名称但没有文件名且内容非常大的多部分请求时出现`OutOfMemoryError`。即使`fileSizeThreshold=0`的默认设置应该将整个部分内容流式传输到磁盘,这种情况也会发生。攻击者客户端可能会发送一个大型多部分请求,导致服务器抛出`OutOfMemoryError`。然而,服务器在`OutOfMemoryError`之后可能能够恢复并继续其服务——尽管可能需要一些时间。这个问题已在版本9.4.51、10.0.14和11.0.14中被修复。建议用户升级。无法升级的用户可以设置多部分参数`maxRequestSize`,它必须设置为非负值,以便限制整个多部分内容(尽管仍然读入内存)。(CVE-2023-26048)
Eclipse Jetty Canonical Repository是Jetty项目的官方仓库。使用具有非常特定命令结构的CgiServlet的用户可能会执行错误的命令。如果用户向org.eclipse.jetty.servlets.CGI Servlet发送一个包含空格的二进制文件请求,servlet将通过在命令周围添加引号来转义命令。然后,这个被包裹的命令加上一个可选的命令前缀,将通过调用Runtime.exec来执行。如果用户提供的原始二进制文件名包含一个引号后跟一个空格,结果的命令行将包含多个令牌而不是一个。这个问题已在版本9.4.52、10.0.16、11.0.16和12.0.0-beta2中被修复。(CVE-2023-36479)
Jetty是一个基于Java的Web服务器和Servlet引擎。在版本9.4.52、10.0.16、11.0.16和12.0.1之前,Jetty接受在HTTP/1头字段中的`+`字符在内容长度值之前。这比RFC和其他服务器通常拒绝此类请求的400响应更为宽容。虽然没有已知的利用场景,但如果Jetty与不关闭连接的服务器一起使用,可能会产生请求走私。版本9.4.52、10.0.16、11.0.16和12.0.1包含了这个问题的补丁。由于没有已知的利用场景,因此没有变通方法。(CVE-2023-40167)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-36479 | KY3.4-5 | jetty | Fixed |
| CVE-2023-26048 | KY3.4-5 | jetty | Fixed |
| CVE-2023-40167 | KY3.4-5 | jetty | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| jetty | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-alpn-client | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-alpn-server | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-annotations | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-ant | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-cdi | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-client | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-continuation | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-deploy | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-fcgi-client | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-fcgi-server | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http-spi | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http2-client | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http2-common | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http2-hpack | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http2-http-client-transport | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-http2-server | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-httpservice | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-infinispan | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-io | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jaas | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jaspi | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-javadoc | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-javax-websocket-client-impl | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-javax-websocket-server-impl | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jmx | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jndi | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jsp | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jspc-maven-plugin | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-jstl | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-maven-plugin | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-nosql | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-osgi-alpn | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-osgi-boot | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-osgi-boot-jsp | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-osgi-boot-warurl | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-plus | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-project | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-proxy | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-quickstart | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-rewrite | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-security | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-server | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-servlet | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-servlets | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-spring | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-start | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-unixsocket | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-util | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-util-ajax | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-webapp | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-websocket-api | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-websocket-client | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-websocket-common | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-websocket-server | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-websocket-servlet | noarch | 9.4.16-7.kb1.ky3_4 |
| jetty-xml | noarch | 9.4.16-7.kb1.ky3_4 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
jetty-http2-http-client-transport
jetty-javax-websocket-client-impl
jetty-javax-websocket-server-impl
jetty-http2-http-client-transport
jetty-javax-websocket-client-impl
