CVE-2019-17638

Versões do Eclipse Jetty de 9.4.27.v20200227 a 9.4.29.v20200521

O problema está relacionado ao tratamento de cabeçalhos de resposta de grande porte no Eclipse Jetty, o que pode levar a uma situação em que duas threads adquiram o mesmo ByteBuffer do pool. Isso pode fazer com que um cliente visualize dados de outra solicitação ou resposta, potencialmente contendo informações confidenciais, como IDs de sessão HTTP ou credenciais de autenticação.

Para as versões do Eclipse Jetty 9.4.27.v20200227 a 9.4.29.v20200521, considere configurar um responseHeaderSize significativamente maior do que o requestHeaderSize, como 12 KB para responseHeaderSize e 8 KB para requestHeaderSize, a fim de reduzir a vulnerabilidade.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.