02. 03. 2015

Výzkumníci z firmy Gotham Digital Science (GDS) objevili chybu v zabezpečení známého webového serveru Jetty od společnosti Eclipse Foundation, který je založen na programovacím jazyce Java.

Charakteristika zranitelnosti

Tato zranitelnost je způsobena chybným zpracováním požadavku na více informací od HttpParser. Útočník tak může pomocí speciálně vytvořených požadavků, které obsahují řetězce nepovolených znaků o proměnlivé délce vyvolat výjimku se zmíněnou chybou a získat tak přibližně 16 bytů dat z vyrovnávací paměti. V této paměti se pak můžou nacházet data z předchozích požadavků od jiných uživatelů.

Postižené systémy

Webové servery Jetty ve verzích:

9.2.3.v20140905
9.2.4.v20141103
9.2.5.v20141112
9.2.6.v20141205
9.2.7.v20150116
9.2.8.v20150217
9.3.0.M0
9.3.0.M1

Dopad zranitelnosti

Útočníci mohou vzdáleně získat libovolná citlivá data uživatelů, včetně cookies, autentizačních a anti-CSRF tokenů, přihlašovacích údajů a hesel.

Řešení

GDS umožňuje ověřit zranitelnost pomocí speciálního skriptu. Dále je doporučeno nainstalovat patch, který je pro jednotlivé verze Jetty k dispozici zde.

CVE

CVE-2015-2080

Odkazy

http://blog.gdssecurity.com/labs/2015/2/25/jetleak-vulnerability-remote-leakage-of-shared-buffers-in-je.html
http://www.securityweek.com/critical-vulnerability-found-jetty-web-server