Biznet BilişimBiznet Bilişim

Jetty Bilgi İfşası Güvenlik Açıkları

Yazar: Okan Coşkun

CVE: CVE-2018-12536

CVSS: 5.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Risk Seviyesi: Düşük

Ürün: Jetty

Etkilenen Sürümler: 9.2.x ve öncesi (Tüm yapılandırmalar)

9.3.x (tüm yapılandırmalar)

9.4.x (tüm yapılandırmalar)

Yama Tarihi: 25 Haziran 2018

Raporlayan: Okan Coşkun

Problem Detayları: Tüm 9.x sürüm Eclipse Jetty sunucularında, URL sonuna eklenen kötü karakterler tüm kaynak yol bilgisini içeren java.nio.file.InvalidPathException’ı tetiklemektedir. Eğer ilgili “InvalidPathException” Error Handler tarafından yorumlanırsa bu ileti hata mesajına eklenerek kaynak yol bilgisinin açığa çıkmasına neden olmaktadır.

Çözüm/Öneri: İlgili sorunun çözümü için JETTY tarafından yayınlanmış güncellemeler bulunmaktadır. Detaylar;

3.X sürümleri için 9.3.24.v20180605

4.X sürümleri için 9.4.11.v20180605

Referanslar:

https://bugs.eclipse.org/bugs/show_bug.cgi?id=535670

https://dev.eclipse.org/mhonarc/lists/jetty-announce/msg00123.html

okan.coskun
Yazar: okan.coskun