Se detectan 2 vulnerabilidades relacionadas con Eclipse Jetty

Se detectan 2 vulnerabilidades relacionadas con Eclipse Jetty

 In Blog

El equipo de Ciberseguridad de Netglobalis informa que F5 publicó 1 aviso de seguridad relacionado a Eclipse Jetty. Esta contiene 2 vulnerabilidades las cuales han sido catalogadas con severidad Alta.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

Afectaciones:

SEVERIDAD ALTA

CVE-2017-7657 (CVSSv3.1 de 7.5)

Los fragmentos de codificación de transferencia se manejan de manera deficiente y el análisis de la longitud del fragmento es vulnerable a un desbordamiento de enteros. Por lo tanto, un tamaño de fragmento grande podría interpretarse como un tamaño de fragmento más pequeño y el contenido enviado como cuerpo de fragmento podría interpretarse como una solicitud canalizada. Si Jetty se implementó detrás de un intermediario que impuso cierta autorización y ese intermediario permitió que se transfirieran sin cambios fragmentos arbitrariamente grandes, entonces esta falla podría usarse para eludir la autorización impuesta por el intermediario, ya que no se interpretaría la solicitud canalizada falsa como una solicitud. Esta vulnerabilidad afecta a Eclipse Jetty, versiones 9.2 y anteriores, 9.3 (todas las configuraciones) y 9.4 (configuración no predeterminada con cumplimiento RFC2616 habilitado).

CVE-2017-7658 (CVSSv3.1 de 7.5)
Cuando se presentan dos encabezados de longitud de contenido, Jetty ignora el segundo, además cuando se presenta una longitud de contenido y un encabezado de codificación fragmentado, se ignora la longitud de contenido (según RFC 2616). Si un intermediario decidió la longitud más corta, pero aún pasó el cuerpo más largo, Jetty podría interpretar el contenido del cuerpo como una solicitud canalizada. Si el intermediario estaba imponiendo la autorización, la solicitud canalizada falsa pasaría por alto esa autorización. Esta vulnerabilidad afecta a Eclipse Jetty Server, versiones 9.2 y anteriores, 9.3 (todas las configuraciones no HTTP/1.x) y 9.4 (todas las configuraciones HTTP/1.x).

Solución:

Se recomienda lo siguiente:
Instalar las actualizaciones del fabricante cuando estas se encuentren disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Como medida de mitigación alternativa, F5 ha publicado 2 posibles soluciones para subsanar estas vulnerabilidades,

Para más información visite la siguiente fuente. https://support.f5.com/csp/article/K10002140

 

Recent Posts
Fortinet publica vulnerabilidades de Severidad MediaBlog
VMware informa vulnerabilidad en productos de virtualización y computación en la nubeBlog