Lian Kee

**Nome do software vulnerável e versões afetadas** Jetty (versões afetadas não especificadas) **Descrição** O PushSessionCacheFilter do Jetty pode ser explorado por usuários não autenticados para lançar ataques remotos de Negação de Serviço (DoS), esgotando a memória do servidor. Essa vulnerabilidade permite que invasores ataquem remotamente o servidor, podendo causar a falta de memória no sistema. **Recomendações** Para resolver o problema, considere as seguintes soluções alternativas: * Evite usar o PushCacheFilter, pois o Push foi descontinuado pelas diversas especificações da IETF e respostas de hints antecipadas devem ser usadas em seu lugar. * Reduza o tempo de espera de inatividade em sessões não autenticadas para diminuir o tempo que essas sessões permanecem na memória. * Configure um cache de sessão para usar a passivação de sessão, de modo que as sessões não sejam armazenadas na memória, mas sim em um banco de dados ou sistema de arquivos que possa ter capacidade significativamente maior do que a memória. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Eclipse Jetty anteriores à 9.4.54 Versões do Eclipse Jetty anteriores à 10.0.18 Versões do Eclipse Jetty anteriores à 11.0.18 Versões do Eclipse Jetty anteriores à 12.0.3 **Descrição** A vulnerabilidade no DosFilter do Jetty pode ser explorada por usuários não autorizados para causar um ataque remoto de negação de serviço (DoS) no servidor. Ao enviar repetidamente solicitações maliciosas, os invasores podem provocar erros de OutOfMemory e esgotar a memória do servidor. O DoSFilter foi projetado para proteger aplicações web contra certos tipos de ataques DoS, mas seu rastreamento interno de solicitações é a fonte dessa condição de OutOfMemory. Os usuários do DoSFilter podem estar sujeitos a ataques DoS que acabarão por esgotar a memória do servidor se não tiverem configurado a passivação de sessão ou um tempo limite agressivo para a inativação de sessão. **Recomendações** Para versões do Eclipse Jetty anteriores à 9.4.54, atualize para a versão 9.4.54 ou posterior. Para versões do Eclipse Jetty anteriores à 10.0.18, atualize para a versão 10.0.18 ou posterior. Para versões do Eclipse Jetty anteriores à 11.0.18, atualize para a versão 11.0.18 ou posterior. Para versões do Eclipse Jetty anteriores à 12.0.3, atualize para a versão 12.0.3 ou posterior. Como solução alternativa temporária, considere configurar a passivação de sessão ou um tempo limite agressivo para inativação de sessão a fim de mitigar o risco de exploração.