PT-2022-6935 · Eclipse+3 · Eclipse Jetty+3

Publicado

2022-07-07

·

Atualizado

2024-11-26

·

CVE-2022-2048

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Eclipse Jetty anteriores à 9.4.47
Versões do Eclipse Jetty anteriores à 10.0.10
Versões do Eclipse Jetty anteriores à 11.0.10
Descrição
O problema decorre do tratamento incorreto de solicitações HTTP/2 inválidas pela implementação do servidor HTTP/2 do Eclipse Jetty. Quando tal solicitação é encontrada, o tratamento de erros não consegue limpar adequadamente as conexões ativas e os recursos associados. Isso pode levar a um cenário de Negação de Serviço, no qual não há recursos suficientes para processar solicitações válidas. Um cliente mal-intencionado pode explorar isso para tornar o servidor indisponível, esgotando a janela de controle de fluxo HTTP/2 ou causando congestionamento TCP na conexão, bloqueando assim a thread do seletor de escrever uma resposta de erro.
Recomendações
Para versões do Eclipse Jetty anteriores à 9.4.47, atualize para a versão 9.4.47 ou posterior.
Para versões do Eclipse Jetty anteriores à 10.0.10, atualize para a versão 10.0.10 ou posterior.
Para versões do Eclipse Jetty anteriores à 11.0.10, atualize para a versão 11.0.10 ou posterior.
Como solução alternativa temporária, considere filtrar as solicitações antes de enviá-las ao Jetty, por exemplo, usando um proxy.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-410CWE-400CWE-664

Identificadores relacionados

ALT-PU-2024-16002
ALT-PU-2024-16022
ALT-PU-2024-16072
BDU:2023-05681
BIT-JENKINS-2022-2048
CVE-2022-2048
DLA-3079-1
DSA-5198-1
GHSA-WGMR-MF83-7X4J
OESA-2023-1021
OESA-2023-1030
OESA-2023-1031
OESA-2023-1032
OPENSUSE-SU-2024:12182-1
RHSA-2023:0017
RHSA-2023:0777
RHSA-2023:3663

Produtos afetados

Alt Linux
Astra Linux
Eclipse Jetty
Jenkins