FERRAMENTAS LINUX: Atualização de segurança do Debian para o jetty9, aviso Debian LTS: DLA-2661-1

sexta-feira, 14 de maio de 2021

Atualização de segurança do Debian para o jetty9, aviso Debian LTS: DLA-2661-1


Confira !!


Várias vulnerabilidades foram descobertas no jetty, um mecanismo de servlet Java e servidor web. Um invasor pode revelar credenciais criptográficas, como senhas, para um usuário local, revelar caminhos de instalação, sequestrar sessões de usuário ou adulterar aplicativos da web colocados.


- ------------------------------------------------- ------------------------

Debian LTS Advisory DLA-2661-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Sylvain Beucler

14 de maio de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: jetty9

Versão: 9.2.30-0 + deb9u1

CVE ID: CVE-2017-9735 CVE-2018-12536 CVE-2019-10241 CVE-2019-10247 

                 CVE-2020-27216

Bug Debian: 864898 902774 928444


Várias vulnerabilidades foram descobertas no jetty, um servlet Java

motor e servidor web. Um invasor pode revelar credenciais criptográficas

como senhas para um usuário local, divulgar caminhos de instalação, sequestrar

sessões de usuário ou adulteração de webapps colocados.


CVE-2017-9735


    Jetty é propenso a um canal de temporização em util / security / Password.java,

    o que torna mais fácil para invasores remotos obter acesso por

    observando os tempos decorridos antes da rejeição de senhas incorretas.


CVE-2018-12536


    Em webapps implantados usando tratamento de erros padrão, quando um

    chega uma consulta intencionalmente incorreta que não corresponde a uma

    padrão de url, e é eventualmente manipulado pelo DefaultServlet do

    serviço de arquivo estático, os caracteres ruins podem acionar

    java.nio.file.InvalidPathException que inclui o caminho completo para

    o diretório de recursos base que o DefaultServlet e / ou webapp

    está usando. Se esta InvalidPathException for então tratada pelo

    Manipulador de erro padrão, a mensagem InvalidPathException é

    incluído na resposta de erro, revelando o caminho completo do servidor para

    o sistema solicitante.


CVE-2019-10241


    O servidor é vulnerável às condições XSS se um cliente remoto USAR

    um URL especialmente formatado em relação ao DefaultServlet ou

    ResourceHandler que está configurado para mostrar uma lista de

    conteúdo do diretório.


CVE-2019-10247


    O servidor em execução em qualquer combinação de SO e versão Jetty irá

    revelar o recurso de base de diretório totalmente qualificado configurado

    localização na saída do erro 404 por não encontrar um Contexto

    que corresponde ao caminho solicitado. O comportamento padrão do servidor em

    distribuição de cais e casa de cais incluirão no final do

    Handler tree um DefaultHandler, que é responsável por relatar

    este erro 404, ele apresenta os vários contextos configurados como

    HTML para os usuários clicarem. Este HTML produzido inclui

    saída que contém a base de diretório totalmente qualificada configurada

    localização de recursos para cada contexto.


CVE-2020-27216


    Em sistemas tipo Unix, o diretório temporário do sistema é compartilhado

    entre todos os usuários desse sistema. Um usuário colocado pode observar

    o processo de criação de um subdiretório temporário no diretório compartilhado

    diretório temporário e corrida para concluir a criação do

    subdiretório temporário. Se o atacante ganhar a corrida, ele

    terá permissão de leitura e gravação para o subdiretório usado para

    descompacte aplicativos da web, incluindo seus arquivos WEB-INF / lib jar e

    Arquivos JSP. Se algum código for executado fora deste

    diretório, isso pode levar a um aumento de privilégio local

    vulnerabilidade.


Esta atualização também inclui várias outras correções de bugs e

melhorias. Para obter mais informações, consulte o upstream

arquivo changelog.


Para Debian 9 stretch, esses problemas foram corrigidos na versão

9.2.30-0 + deb9u1.


Recomendamos que você atualize seus pacotes jetty9.


Para obter o status de segurança detalhado do jetty9, consulte a

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/jetty9


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações em seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS






Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário