PT-2024-38862 · Eclipse+4 · Jetty+4

Hrsgit

·

Publicado

2024-10-14

·

Atualizado

2026-05-18

·

CVE-2024-8184

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas:
Versões do Jetty 9.3.12 a 9.4.55
Versões do Jetty 10.0.0 a 10.0.23
Versões do Jetty 11.0.0 a 11.0.23
Versões do Jetty 12.0.0 a 12.0.8
Descrição:
Existe uma vulnerabilidade de segurança no método ThreadLimitHandler.getRemote() do Jetty que pode ser explorada por usuários não autorizados para causar um ataque remoto de negação de serviço (DoS). Ao enviar repetidamente solicitações maliciosas, os invasores podem provocar erros OutofMemory e esgotar a memória do servidor.
Recomendações:
Para as versões do Jetty 9.3.12 a 9.4.55, atualize para a versão 9.4.56 ou posterior.
Para as versões do Jetty 10.0.0 a 10.0.23, atualize para a versão 10.0.24 ou posterior.
Para as versões do Jetty 11.0.0 a 11.0.23, atualize para a versão 11.0.24 ou posterior.
Para as versões do Jetty 12.0.0 a 12.0.8, atualize para a versão 12.0.9 ou posterior.
Como solução alternativa temporária, considere não usar o ThreadLimitHandler e, em vez disso, use o QoSHandler para limitar artificialmente a utilização de recursos.

Exploit

Correção

DoS

Resource Exhaustion

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-770

Identificadores relacionados

ALT-PU-2024-16002
ALT-PU-2024-16022
ALT-PU-2024-16072
BDU:2025-03454
CLEANSTART-2026-DD05788
CLEANSTART-2026-GH89210
CLEANSTART-2026-SQ91016
CLEANSTART-2026-VH41554
CLEANSTART-2026-WK99982
CVE-2024-8184
DLA-4106-1
DLA-4106-2
DSA-5894-1
GHSA-G8M5-722R-8WHQ
OPENSUSE-SU-2024:14408-1
OPENSUSE-SU-2024_3720-1
SUSE-SU-2024:3720-1
SUSE-SU-2024_3720-1

Produtos afetados

Alt Linux
Debian
Jetty
Red Os
Suse