Inicio / Alerta Temprana / Vulnerabilidades / CVE-2017-7657

Vulnerabilidad en Eclipse Jetty (CVE-2017-7657)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Alta
Fecha publicación : 
26/06/2018
Última modificación: 
20/07/2021
Descripción
En Eclipse Jetty, en versiones 9.2.x y anteriores, versiones 9.3.x (todas las configuraciones) y versiones 9.4.x (configuración personalizada con el cumplimiento RFC2616 habilitado), los fragmentos transfer-encoding se gestionan de forma incorrecta. El análisis de longitud de fragmento era vulnerable a un desbordamiento de enteros. Así, podría interpretarse un tamaño de fragmento grande como un tamaño menor y el contenido enviado como cuerpo del fragmento podría interpretarse como una petición pipelined. Si Jetty se despliega tras un intermediario que imponía autorización y el intermediario permitía que se pasasen o no se cambiasen grandes fragmentos arbitrarios, este error podría emplearse para omitir la autorización impuesta por el intermediario, ya que la petición pipelined falsa no sería interpretada por el intermediario como una petición.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  • cpe:2.3:h:hp:xp_p9000:-:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:retail_xstore_point_of_service:7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:retail_xstore_point_of_service:17.0:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:retail_xstore_point_of_service:16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:retail_xstore_point_of_service:15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:rest_data_services:18c:*:*:*:-:*:*:*
  • cpe:2.3:a:oracle:rest_data_services:12.2.0.1:*:*:*:-:*:*:*
  • cpe:2.3:a:oracle:rest_data_services:12.1.0.2:*:*:*:-:*:*:*
  • cpe:2.3:a:oracle:rest_data_services:11.2.0.4:*:*:*:-:*:*:*
  • cpe:2.3:a:netapp:snapmanager:*:*:*:*:*:sap:*:*
  • cpe:2.3:a:netapp:snapmanager:*:*:*:*:*:oracle:*:*
  • cpe:2.3:a:netapp:snapcenter:*:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:snap_creator_framework:*:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:santricity_cloud_connector:-:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:oncommand_unified_manager:*:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:oncommand_system_manager:3.x:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:hci_storage_nodes:-:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:element_software_management_node:-:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:element_software:-:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:e-series_santricity_web_services:-:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:e-series_santricity_os_controller:*:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:e-series_santricity_management:-:*:*:*:*:*:*:*
  • cpe:2.3:a:hp:xp_p9000_command_view:*:*:*:*:advanced:*:*:*
  • cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos