GDS安全公司发现了一个Jetty web server共享缓存区远程泄露漏洞,通过该漏洞一个没有认证过的攻击者可以远程获取之前合法用户向服务器发送的请求。简而言之,攻击者可以从存在漏洞的服务器远程获取缓存区的敏感信息,包括http头的信息(cookies、认证的tokens、防止CSRF的tokens等等)以及用户POST的数据(用户名、密码等)。 漏洞的根源在于当header中被插入恶意的字符并提交到服务器后,会从异常处理代码中获得共享缓冲区大约16 bytes的数据。因此攻击者可以通过提交一个精心构造的请求来获取异常并偏移到共享缓冲区中,共享缓冲区中存的是用户先前提交的数据,Jetty服务器会根据用户提交的请求返回大约16 bytes的数据块,这里面会包含敏感信息。 受影响的版本 该漏洞影响Jetty 的9.2.3~9.2.8版本,GDS同时发现Jetty的beta版本9.3.x也受到该漏洞的影响。 漏洞验证 GDS给出了一个漏洞验证的脚本,下载地址 https://github.com/GDSSecurity/Jetleak-Testing-Script 验证方法
如果存在漏洞会显示 This version of Jetty is VULNERABLE to JetLeak! 如果不存在漏洞 This version of Jetty is NOT vulnerable to JetLeak. |