PT-2024-37856 · Jetty+2 · Jetty+2
Jerdfelt
+2
·
Publicado
2024-10-14
·
Atualizado
2025-07-01
·
CVE-2024-6762
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Jetty (versões afetadas não especificadas)
Descrição
O PushSessionCacheFilter do Jetty pode ser explorado por usuários não autenticados para lançar ataques remotos de Negação de Serviço (DoS), esgotando a memória do servidor. Essa vulnerabilidade permite que invasores ataquem remotamente o servidor, podendo causar a falta de memória no sistema.
Recomendações
Para resolver o problema, considere as seguintes soluções alternativas:
-
Evite usar o PushCacheFilter, pois o Push foi descontinuado pelas diversas especificações da IETF e respostas de hints antecipadas devem ser usadas em seu lugar.
-
Reduza o tempo de espera de inatividade em sessões não autenticadas para diminuir o tempo que essas sessões permanecem na memória.
-
Configure um cache de sessão para usar a passivação de sessão, de modo que as sessões não sejam armazenadas na memória, mas sim em um banco de dados ou sistema de arquivos que possa ter capacidade significativamente maior do que a memória.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
DoS
Resource Exhaustion
Improper Resource Release
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Jetty
Red Os