公告ID(KYSA-202301-1031)
公告ID:KYSA-202301-1031
公告摘要:jetty安全漏洞
等級:Moderate
發(fā)布日期:2023-01-17
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2019-10241
描述:Eclipse Jetty是Eclipse基金會的一個(gè)開源的����、基于Java的Web服務(wù)器和Java Servlet容器����。Eclipse Jetty 9.2.26及之前版本、9.3.25及之前版本和9.4.15及之前版本中存在跨站腳本漏洞�����,該漏洞源于WEB應(yīng)用缺少對客戶端數(shù)據(jù)的正確驗(yàn)證���。攻擊者可利用該漏洞執(zhí)行客戶端代碼����。
·CVE-2020-27216
描述:Eclipse Jetty是Eclipse基金會的一個(gè)開源的���、基于Java的Web服務(wù)器和Java Servlet容器�。Eclipse Jetty 存在安全漏洞��,該漏洞源于系統(tǒng)的臨時(shí)目錄在該系統(tǒng)上的所有用戶之間共享�����。并置用戶可以觀察在共享臨時(shí)目錄中創(chuàng)建臨時(shí)子目錄的過程,并爭著完成臨時(shí)子目錄的創(chuàng)建����。攻擊者可利用該漏洞擁有對用于解壓縮web應(yīng)用程序的子目錄的讀寫權(quán)限,包括它們的web - inf lib jar文件和JSP文件��。以下產(chǎn)品及版本收到影響:1.0 thru 9.4.32.v20200930版本, 10.0.0.alpha1 thru 10.0.0.beta2版本, 11.0.0.alpha1 thru 11.0.0.beta2O版本����。
2.受影響的軟件包
·銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3
·loongarch64架構(gòu):
jetty-websocket-servlet、jetty-http-spi���、jetty-deploy��、jetty-alpn-client��、jetty-infinispan���、jetty-http2-common、jetty-client�����、jetty-osgi-boot-warurl��、jetty-security����、jetty-xml、jetty-unixsocket����、jetty-http、jetty-jmx�、jetty-fcgi-server、jetty-jspc-maven-plugin�、jetty-jaas、jetty-websocket-common����、jetty-continuation、jetty-annotations���、jetty-nosql���、jetty-start、jetty-util-ajax����、jetty-proxy���、jetty-cdi、jetty-jsp����、jetty-jstl、jetty-javax-websocket-client-impl�����、jetty-project��、jetty-maven-plugin�����、jetty-webapp�、jetty-alpn-server、jetty���、jetty-websocket-api���、jetty-util、jetty-javadoc���、jetty-httpservice����、jetty-websocket-client���、jetty-osgi-boot-jsp���、jetty-http2-server、jetty-servlet���、jetty-io����、jetty-http2-http-client-transport����、jetty-osgi-alpn、jetty-plus����、jetty-osgi-boot、jetty-jndi�����、jetty-servlets、jetty-quickstart�、jetty-jaspi、jetty-ant���、jetty-websocket-server�����、jetty-http2-hpack���、jetty-fcgi-client、jetty-http2-client���、jetty-server���、jetty-spring、jetty-javax-websocket-server-impl���、jetty-rewrite
3.軟件包修復(fù)版本
·銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3 (loongarch64)
jetty-websocket-server-9.4.16-1.a.ky10或以上版本
jetty-http2-http-client-transport-9.4.16-1.a.ky10或以上版本
jetty-osgi-boot-9.4.16-1.a.ky10或以上版本
jetty-websocket-common-9.4.16-1.a.ky10或以上版本
jetty-start-9.4.16-1.a.ky10或以上版本
jetty-javax-websocket-server-impl-9.4.16-1.a.ky10或以上版本
jetty-websocket-client-9.4.16-1.a.ky10或以上版本
jetty-http2-hpack-9.4.16-1.a.ky10或以上版本
jetty-javadoc-9.4.16-1.a.ky10或以上版本
jetty-io-9.4.16-1.a.ky10或以上版本
jetty-jndi-9.4.16-1.a.ky10或以上版本
jetty-server-9.4.16-1.a.ky10或以上版本
jetty-http-spi-9.4.16-1.a.ky10或以上版本
jetty-quickstart-9.4.16-1.a.ky10或以上版本
jetty-util-ajax-9.4.16-1.a.ky10或以上版本
jetty-util-9.4.16-1.a.ky10或以上版本
jetty-websocket-api-9.4.16-1.a.ky10或以上版本
jetty-servlet-9.4.16-1.a.ky10或以上版本
jetty-plus-9.4.16-1.a.ky10或以上版本
jetty-webapp-9.4.16-1.a.ky10或以上版本
jetty-jstl-9.4.16-1.a.ky10或以上版本
jetty-nosql-9.4.16-1.a.ky10或以上版本
jetty-client-9.4.16-1.a.ky10或以上版本
jetty-jsp-9.4.16-1.a.ky10或以上版本
jetty-9.4.16-1.a.ky10或以上版本
jetty-unixsocket-9.4.16-1.a.ky10或以上版本
jetty-jaspi-9.4.16-1.a.ky10或以上版本
jetty-alpn-server-9.4.16-1.a.ky10或以上版本
jetty-jaas-9.4.16-1.a.ky10或以上版本
jetty-spring-9.4.16-1.a.ky10或以上版本
jetty-continuation-9.4.16-1.a.ky10或以上版本
jetty-osgi-boot-warurl-9.4.16-1.a.ky10或以上版本
jetty-deploy-9.4.16-1.a.ky10或以上版本
jetty-http2-common-9.4.16-1.a.ky10或以上版本
jetty-project-9.4.16-1.a.ky10或以上版本
jetty-maven-plugin-9.4.16-1.a.ky10或以上版本
jetty-rewrite-9.4.16-1.a.ky10或以上版本
jetty-xml-9.4.16-1.a.ky10或以上版本
jetty-osgi-alpn-9.4.16-1.a.ky10或以上版本
jetty-javax-websocket-client-impl-9.4.16-1.a.ky10或以上版本
jetty-infinispan-9.4.16-1.a.ky10或以上版本
jetty-proxy-9.4.16-1.a.ky10或以上版本
jetty-cdi-9.4.16-1.a.ky10或以上版本
jetty-http2-client-9.4.16-1.a.ky10或以上版本
jetty-websocket-servlet-9.4.16-1.a.ky10或以上版本
jetty-http-9.4.16-1.a.ky10或以上版本
jetty-http2-server-9.4.16-1.a.ky10或以上版本
jetty-fcgi-server-9.4.16-1.a.ky10或以上版本
jetty-fcgi-client-9.4.16-1.a.ky10或以上版本
jetty-jspc-maven-plugin-9.4.16-1.a.ky10或以上版本
jetty-httpservice-9.4.16-1.a.ky10或以上版本
jetty-annotations-9.4.16-1.a.ky10或以上版本
jetty-servlets-9.4.16-1.a.ky10或以上版本
jetty-security-9.4.16-1.a.ky10或以上版本
jetty-ant-9.4.16-1.a.ky10或以上版本
jetty-alpn-client-9.4.16-1.a.ky10或以上版本
jetty-osgi-boot-jsp-9.4.16-1.a.ky10或以上版本
jetty-jmx-9.4.16-1.a.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級安裝
1.打開軟件包源配置文件�����,根據(jù)倉庫地址進(jìn)行修改�����。
倉庫源地址:
銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級����,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級安裝
通過軟件包地址下載軟件包�����,使用軟件包升級命令根據(jù)受影響的軟件包
列表進(jìn)行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2019-10241:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2020-27216:需要重啟 jetty 以使漏洞修復(fù)生效。
5.軟件包下載地址
·銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3
jetty(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-plus-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-util-ajax-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-proxy-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-client-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-server-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-servlet-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-quickstart-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-rewrite-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-security-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-servlet-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-project-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-fcgi-client-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-hpack-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jsp-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-xml-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-api-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-common-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-http-client-transport-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-client-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jspc-maven-plugin-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-fcgi-server-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-cdi-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jstl-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http-spi-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-client-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-maven-plugin-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-continuation-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-ant-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-alpn-client-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-annotations-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-webapp-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-alpn-server-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jndi-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-alpn-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-util-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-servlets-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-deploy-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-start-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-unixsocket-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-boot-jsp-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-spring-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jaas-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jmx-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-javax-websocket-server-impl-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-javadoc-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-javax-websocket-client-impl-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-boot-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jaspi-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-server-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-nosql-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-boot-warurl-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-common-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-io-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-infinispan-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-server-9.4.16-1.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-httpservice-9.4.16-1.a.ky10.noarch.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令�����,查看相關(guān)軟件包版本是否與修復(fù)版本一致���,如果版本一致��,則說明修復(fù)成功���。
sudo rpm -qa | grep Packagename
安全漏洞補(bǔ)丁公告
