PT-2021-3392 · Eclipse+2 · Eclipse Jetty+2

Publicado

2021-06-22

·

Atualizado

2024-11-26

·

CVE-2021-34428

CVSS v2.0

3.6

Baixa

VetorAV:L/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Eclipse Jetty <= 9.4.40
Versões do Eclipse Jetty <= 10.0.2
Versões do Eclipse Jetty <= 11.0.2
Descrição
O problema está relacionado ao método SessionListener#sessionDestroyed(), no qual, se uma exceção for lançada, o ID da sessão não é invalidado no gerenciador de IDs de sessão. Isso pode resultar na não invalidação de uma sessão, particularmente em implantações com sessões em cluster e múltiplos contextos. Isso pode levar a um aplicativo permanecer conectado em um computador compartilhado. Não há nenhuma maneira conhecida de um invasor induzir tal exceção, portanto, ele deve contar com um aplicativo para lançá-la. O método getLastAccessedTime() pode lançar uma IllegalStateException, potencialmente contrária à especificação do servlet, fazendo com que os aplicativos não consigam fazer o logout.
Recomendações
Para versões do Eclipse Jetty <= 9.4.40, capture todos os Throwables nas implementações de SessionListener#sessionDestroyed().
Para versões do Eclipse Jetty <= 10.0.2, capture todos os Throwables nas implementações de SessionListener#sessionDestroyed().
Para versões do Eclipse Jetty <= 11.0.2, capture todos os Throwables nas implementações de SessionListener#sessionDestroyed().

Correção

Insufficient Session Expiration

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-613

Identificadores relacionados

ALT-PU-2024-16002
ALT-PU-2024-16022
ALT-PU-2024-16072
BDU:2021-03243
CVE-2021-34428
DSA-4949-1
GHSA-M6CP-VXJX-65J6
OESA-2021-1263
RHSA-2021:3758

Produtos afetados

Alt Linux
Astra Linux
Eclipse Jetty