首頁|必讀|視頻|專訪|運營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計算|芯片報告|智慧城市|移動互聯(lián)網(wǎng)|會展
首頁 >> 技術 >> 正文

新思科技憑借Defensics模糊測試工具發(fā)現(xiàn)Jetty Web服務器的漏洞

2021年3月8日 14:49  CCTIME飛象網(wǎng)  

飛象網(wǎng)訊 模糊測試能有效地在服務和協(xié)議中識別缺陷以及零日漏洞。近日,新思科技的研究人員憑借Defensics® 模糊測試工具發(fā)現(xiàn)了Jetty Web服務器的漏洞。CVE-2020-27223披露在Eclipse Foundation中廣泛使用的Jetty Web服務器拒絕服務漏洞。Eclipse Foundation是管理和運營Eclipse開源項目的基金會。

概述

新思科技網(wǎng)絡安全研究中心(CyRC)研究人員發(fā)現(xiàn)了CVE-2020-27223漏洞,即Eclipse Jetty中的拒絕服務漏洞。Eclipse Jetty是一種廣泛使用的開源Web服務器和Servlet容器。根據(jù)Eclipse Foundation網(wǎng)站,“ Jetty廣泛應用于各種項目和產(chǎn)品,無論是開發(fā)階段還是生產(chǎn)階段。Jetty易于嵌入到設備、工具、框架、應用程序服務器和現(xiàn)代云服務中,長期以來一直受到開發(fā)人員的青睞!

當Jetty處理包含帶有大量質量因子參數(shù)(Accept請求頭中的q值)的Accept請求頭的請求時,CPU使用率較高,服務器可能會進入拒絕服務狀態(tài)。新思科技研究人員認為,這是由于在org.eclipse.jetty.http.QuotedQualityCSV類的sort方法發(fā)現(xiàn)的漏洞導致:

Jetty中唯一可以觸發(fā)此行為的功能是:

Ÿ默認錯誤處理–帶QuotedQualityCSV的Accept請求頭被用來確定要發(fā)回客戶端的內(nèi)容類型(html、文本、json和xml等)

ŸStatisticsServlet –使用帶有QuotedQualityCSV的Accept請求頭被用來確定發(fā)回客戶端的內(nèi)容類型(xml、json、text、html等)

ŸHttpServletRequest.getLocale()–將 Accept-Language請求頭與QuotedQualityCSV一起使用,以確定在此調用中返回哪種“首選”語言

ŸHttpservletRequest.getLocales()–與上面類似,但是根據(jù)Accept-Language請求頭上的質量值返回一個有序的語言環(huán)境列表

ŸDefaultServlet –使用帶有QuotedQualityCSV的 Accept-Encoding請求頭以確定應將哪種預壓縮內(nèi)容以靜態(tài)內(nèi)容(與Web應用程序中的url模式不匹配的內(nèi)容)發(fā)回

當服務器遇到排序項數(shù)量足夠大且q參數(shù)中的值足夠分散多樣化的請求時,排序數(shù)組會導致CPU使用率激增。新思科技研究人員沒有觀察到由此而導致的內(nèi)存泄漏或崩潰。但是,服務器可能需要幾分鐘來處理單個請求,該請求的大小在幾十KB范圍內(nèi)。研究人員觀察到請求大小與CPU使用時間之間呈指數(shù)關系。

受影響的軟件

ŸEclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本

ŸEclipse Jetty 10.0.0版本

ŸEclipse Jetty 11.0.0版本

影響

CVSS 3.1 評分

Vector:  AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

評分5.3(中等)

漏洞可利用性指標:

攻擊途徑Attack Vector (AV): N = Network 網(wǎng)絡

攻擊復雜程度Attack Complexity (AC): L = Low低

所需權限Privileges Required (PR): N = None 無

用戶交互User Interaction (UI): N = None 無

范圍Scope (S): U = Unchanged 無變化

影響指標

機密性影響Confidentiality Impact (C): N = None 無

完整性影響Integrity Impact (I): N = None 無

可用性影響Availability Impact (A): L = Low低

修復

強烈建議Jetty的軟件供應商和用戶升級到9.4.38.v20210224、10.0.1或11.0.1版本。

漏洞發(fā)現(xiàn)者

位于芬蘭奧盧的新思科技網(wǎng)絡安全研究中心的研究人員Matti Varanka和Tero Rontti

憑借Defensics® 模糊測試工具發(fā)現(xiàn)了此漏洞。

新思科技感謝Webtide(Jetty的維護團隊)及時地響應并修復此漏洞。

時間線

2021年1月5日:發(fā)現(xiàn)Jetty的漏洞

2021年2月10日:將漏洞信息反饋給Webtide(Jetty的維護團隊)

2021年2月11日:Webtide確認Jetty存在漏洞,歸為CVE-2020-27223

2021年2月22日:Webtide 發(fā)布修復

2021年2月26日:發(fā)布CVE-2020-27223修復建議

原文鏈接:

https://www.synopsys.com/blogs/software-security/cve-2020-27223-jetty/

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構成任何投資及應用建議。如網(wǎng)站內(nèi)容涉及作品版權和其它問題,請在30日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進行的“內(nèi)容核實”、“商務聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權。
相關新聞              
 
人物
工信部張云明:大部分國家新劃分了中頻段6G頻譜資源
精彩專題
專題丨“汛”速出動 共筑信息保障堤壩
2023MWC上海世界移動通信大會
中國5G商用四周年
2023年中國國際信息通信展覽會
CCTIME推薦
關于我們 | 廣告報價 | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務業(yè)務經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經(jīng)書面許可,禁止轉載、摘編、復制、鏡像