2017-1127: Jetty: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-06-30 11:16)

Neues Advisory

Version 2 (2017-07-03 11:43)

Für Fedora 24 steht ein Sicherheitsupdate zur Behebung der Schwachstelle im Status 'testing' bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Durch die Verwendung der zeitlich nicht konstanten Funktion 'Arrays.equals' zur Verifikation eines Benutzerpassworts existiert eine Schwachstelle in Jetty, durch die ein entfernter, nicht authentisierter Angreifer ein Benutzerpasswort ausspähen sowie die Existenz eines Benutzerkontos nachweisen kann.

Für Fedora 25 und 26 stehen die Pakete ' jetty-9.4.6-1.v20170531.fc25', 'jetty-alpn-8.1.11-2.v20170118.fc25', ' jetty-test-helper-3.1-3.fc25' und 'jetty-9.4.6-1.v20170531.fc26' als Sicherheitsupdates im Status 'testing' bereit.

Schwachstellen:

CVE-2017-9735

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.