L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Eclipse Jetty

alerte de vulnérabilité informatique CVE-2018-12536

Eclipse Jetty : obtention d'information via InvalidPathException Message

Synthèse de la vulnérabilité

Produits concernés : Jetty, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/06/2018.
Références : CVE-2018-12536, NTAP-20181014-0001, VIGILANCE-VUL-26536.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via InvalidPathException Message de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-7658

Eclipse Jetty : obtention d'information via Double Content-Length

Synthèse de la vulnérabilité

Produits concernés : Debian, Jetty, Fedora, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/06/2018.
Références : CVE-2017-7658, DSA-4278-1, FEDORA-2018-48b73ed393, FEDORA-2018-93a507fd0f, NTAP-20181014-0001, VIGILANCE-VUL-26535.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Double Content-Length de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2017-7657

Eclipse Jetty : obtention d'information via Transfer-Encoding Request Smuggling

Synthèse de la vulnérabilité

Produits concernés : Debian, Jetty, Fedora, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/06/2018.
Références : CVE-2017-7657, DSA-4278-1, FEDORA-2018-48b73ed393, FEDORA-2018-93a507fd0f, NTAP-20181014-0001, VIGILANCE-VUL-26534.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Transfer-Encoding Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-7656

Eclipse Jetty : obtention d'information via HTTP/0.9 Request Smuggling

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via HTTP/0.9 Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Jetty, Fedora, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/06/2018.
Références : CVE-2017-7656, DSA-4278-1, FEDORA-2018-48b73ed393, FEDORA-2018-93a507fd0f, NTAP-20181014-0001, VIGILANCE-VUL-26533.

Description de la vulnérabilité

Le produit Eclipse Jetty dispose d'un service web.

Cependant, un attaquant peut contourner les restrictions d'accès aux données.

Un attaquant peut donc utiliser une vulnérabilité via HTTP/0.9 Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2018-12538

Eclipse Jetty : élévation de privilèges via FileSessionDataStore

Synthèse de la vulnérabilité

Produits concernés : Jetty, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/06/2018.
Références : 536018, CVE-2018-12538, NTAP-20181014-0001, VIGILANCE-VUL-26512.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via FileSessionDataStore de Eclipse Jetty, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2016-4800

Eclipse Jetty : traversée de répertoire avec des caractères "backslash"

Synthèse de la vulnérabilité

Un attaquant peut traverser les dossier de Eclipse Jetty, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Jetty.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/05/2016.
Références : CVE-2016-4800, ocert-2016-001, VIGILANCE-VUL-19731, ZDI-16-362.

Description de la vulnérabilité

Le produit Eclipse Jetty est un serveur HTTP et un environnement de servlet.

Un serveur HTTP doit normaliser la partie chemin de l'URL reçue dans une requête et tenir compte des échappements. Cependant, Jetty gère mal le décodage de la partie chemin. La contre mesure proposée suggère que le caractère "\" est accepté comme un séparateur de chemin, alors que seul le séparateur "/" est autorisé dans les URLs. Utiliser "\" au lieu de "/" permettrait alors d'accéder à l'arborescence du code et du paramétrage de la servlet visée.

Un attaquant peut donc traverser les dossier de Eclipse Jetty, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 17015

Eclipse Jetty : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Eclipse Jetty.
Produits concernés : Jetty.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/06/2015.
Références : 461499, 465053, 468747, VIGILANCE-VUL-17015.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Eclipse Jetty.

Un attaquant peut provoquer une fuite de connexions dans ConnectionPool, afin de mener un déni de service. [grav:2/4; 461499]

Un attaquant peut provoquer un buffer overflow dans gzip, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 465053]

Un attaquant peut provoquer un Cross Site Scripting dans HttpSpiContextHandler, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 468747]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Eclipse Jetty :