BDU:2019-04264

Опубликовано: 18 апр. 2019

Источник: fstec

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость контейнера сервлетов Eclipse Jetty связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Вендор

Oracle Corp.

Eclipse Foundation

ООО «РусБИТех-Астра»

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Oracle Endeca Information Discovery Integrator

Enterprise Manager Base Platform

Oracle Data Integrator

Oracle Hospitality Guest Access

Retail Xstore Point of Service

Jetty

AutoVue

Oracle Communications Element Manager

Oracle Communications Session Report Manager

Oracle Communications Session Route Manager

Oracle Unified Directory

Oracle FLEXCUBE Private Banking

Oracle Communications Services Gatekeeper

Communications Analytics

REST Data Services

FLEXCUBE Core Banking

Astra Linux Special Edition

ОСОН ОСнова Оnyx

ОС ОН «Стрелец»

Версия ПО

3.2.0 (Oracle Endeca Information Discovery Integrator)

13.2.0 (Enterprise Manager Base Platform)

13.3.0 (Enterprise Manager Base Platform)

12.2.1.3.0 (Oracle Data Integrator)

4.2.0 (Oracle Hospitality Guest Access)

4.2.1 (Oracle Hospitality Guest Access)

7.1 (Retail Xstore Point of Service)

15.0 (Retail Xstore Point of Service)

16.0 (Retail Xstore Point of Service)

17.0 (Retail Xstore Point of Service)

7.x (Jetty)

8.x (Jetty)

до 9.2.27 (Jetty)

до 9.3.26 (Jetty)

до 9.4.16 (Jetty)

12.0.2 (AutoVue)

8.0.0 (Oracle Communications Element Manager)

8.1.0 (Oracle Communications Element Manager)

8.1.1 (Oracle Communications Element Manager)

8.2.0 (Oracle Communications Element Manager)

8.0.0 (Oracle Communications Session Report Manager)

8.1.0 (Oracle Communications Session Report Manager)

8.1.1 (Oracle Communications Session Report Manager)

8.2.0 (Oracle Communications Session Report Manager)

8.0.0 (Oracle Communications Session Route Manager)

8.1.0 (Oracle Communications Session Route Manager)

8.1.1 (Oracle Communications Session Route Manager)

8.2.0 (Oracle Communications Session Route Manager)

12.2.1.3.0 (Oracle Unified Directory)

12.2.1.4.0 (Oracle Unified Directory)

12.0 (Oracle FLEXCUBE Private Banking)

12.1 (Oracle FLEXCUBE Private Banking)

6.0 (Oracle Communications Services Gatekeeper)

6.1 (Oracle Communications Services Gatekeeper)

12.1.1 (Communications Analytics)

7.0 (Oracle Communications Services Gatekeeper)

11.2.0.4 (REST Data Services)

12.1.0.2 (REST Data Services)

12.2.0.1 (REST Data Services)

18c (REST Data Services)

5.2.0 (FLEXCUBE Core Banking)

от 11.5.0 до 11.7.0 включительно (FLEXCUBE Core Banking)

12.2.1.4.0 (Oracle Data Integrator)

1.7 (Astra Linux Special Edition)

до 2.5 (ОСОН ОСнова Оnyx)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем

Сетевое средство

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Eclipse:

https://bugs.eclipse.org/bugs/show_bug.cgi?id=546577

Для Oracle:

https://www.oracle.com/security-alerts/cpuoct2019.html

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.oracle.com/security-alerts/cpujul2020.html

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.oracle.com/security-alerts/cpujan2021.html

Для Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:

Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3osnova1

Для ОС ОН «Стрелец»:

Обновление программного обеспечения jetty9 до версии 9.2.30-0+deb9u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://nvd.nist.gov/vuln/detail?vulnId=CVE-2019-10247
CVE

EPSS

Процентиль: 91%

0.06477

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2019-10247

CVSS3: 5.3

ubuntu

почти 7 лет назад

In Eclipse Jetty version 7.x, 8.x, 9.2.27 and older, 9.3.26 and older, and 9.4.16 and older, the server running on any OS and Jetty version combination will reveal the configured fully qualified directory base resource location on the output of the 404 error for not finding a Context that matches the requested path. The default server behavior on jetty-distribution and jetty-home will include at the end of the Handler tree a DefaultHandler, which is responsible for reporting this 404 error, it presents the various configured contexts as HTML for users to click through to. This produced HTML includes output that contains the configured fully qualified directory base resource location for each context.

CVE-2019-10247

CVSS3: 5.3

redhat

почти 7 лет назад

CVE-2019-10247

CVSS3: 5.3

nvd

почти 7 лет назад

CVE-2019-10247

CVSS3: 5.3

debian

почти 7 лет назад

In Eclipse Jetty version 7.x, 8.x, 9.2.27 and older, 9.3.26 and older, ...

GHSA-xc67-hjx6-cgg6

CVSS3: 5.3

github

почти 7 лет назад

Installation information leak in Eclipse Jetty

EPSS

Процентиль: 91%

0.06477

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2