Vulnérabilité dans le serveur HTTP Jetty
Date de publication :
CVE-2021-28165 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein de Eclipse Jetty a été corrigée. Cette faille est due à une erreur dans la gestion des trames réseau TLS invalides lorsque celles-ci sont anormalement grandes. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Déni de service
Criticité
-
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
L’exploitation de cette vulnérabilité reste néanmoins triviale.
Composants vulnérables
Les versions suivantes d’Eclipse Jetty sont impactées par cette vulnérabilité :
-
De 7.2.2 à 9.4.38.
De 10.0.0.alpha0 à 10.0.1.
De 11.0.0.alpha0 à 11.0.1.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Eclipse Jetty vers une des versions suivantes :
- 9.4.38
- 10.0.1
- 11.0.1
Solution de contournement
- Une solution de contournement existe, celle-ci est disponible ici.