2021-1665: Jetty: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-08-05 18:14)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann zwei weitere Schwachstellen lokal und mit physischem Zugriff auf ein betroffenes System ausnutzen, um Privilegien zu eskalieren.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2019-10241 kann Einfluss auf andere Komponenten haben und erfordert die Interaktion eines Benutzers.

Debian veröffentlicht für die stabile Distribution Buster (10) ein Sicherheitsupdate für 'jetty9' in Version 9.4.16-0+deb10u1 bereit, um die Schwachstellen zu beheben. Es ist von auszugehen, dass mit den aktuell in der Webversion des Sicherheitshinweises referenzierten Schwachstellen CVE-2020-28165 und CVE-2020-28169 die Schwachstellen CVE-2020-28165 und CVE-2020-28169 gemeint sind.

Schwachstellen:

CVE-2019-10241

Schwachstelle in Jetty ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10247

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

CVE-2020-27216

Schwachstelle in Jetty ermöglicht Privilegieneskalation

CVE-2020-27223

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2021-28165

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2021-28169

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

CVE-2021-34428

Schwachstelle in Jetty ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.