PT-2024-9612 · Eclipse+2 · Eclipse Jetty+2
Lian Kee
+1
·
Publicado
2024-10-14
·
Atualizado
2026-05-18
·
CVE-2024-9823
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Eclipse Jetty anteriores à 9.4.54
Versões do Eclipse Jetty anteriores à 10.0.18
Versões do Eclipse Jetty anteriores à 11.0.18
Versões do Eclipse Jetty anteriores à 12.0.3
Descrição
A vulnerabilidade no DosFilter do Jetty pode ser explorada por usuários não autorizados para causar um ataque remoto de negação de serviço (DoS) no servidor. Ao enviar repetidamente solicitações maliciosas, os invasores podem provocar erros de OutOfMemory e esgotar a memória do servidor. O DoSFilter foi projetado para proteger aplicações web contra certos tipos de ataques DoS, mas seu rastreamento interno de solicitações é a fonte dessa condição de OutOfMemory. Os usuários do DoSFilter podem estar sujeitos a ataques DoS que acabarão por esgotar a memória do servidor se não tiverem configurado a passivação de sessão ou um tempo limite agressivo para a inativação de sessão.
Recomendações
Para versões do Eclipse Jetty anteriores à 9.4.54, atualize para a versão 9.4.54 ou posterior.
Para versões do Eclipse Jetty anteriores à 10.0.18, atualize para a versão 10.0.18 ou posterior.
Para versões do Eclipse Jetty anteriores à 11.0.18, atualize para a versão 11.0.18 ou posterior.
Para versões do Eclipse Jetty anteriores à 12.0.3, atualize para a versão 12.0.3 ou posterior.
Como solução alternativa temporária, considere configurar a passivação de sessão ou um tempo limite agressivo para inativação de sessão a fim de mitigar o risco de exploração.
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Eclipse Jetty
Red Os