历史上的今天

今天是：2025年03月08日（星期六）

2021年03月08日 | 新思科技网络安全研究中心发现Jetty Web服务器存在漏洞

2021-03-08 来源：EEWORLD

拒绝服务是Web服务器常见的漏洞之一，这可能是由于超长URL或者畸形HTTP Header等原因引起的。Web服务器在处理这些请求时如果方式不当，就会导致出错终止或挂起。最近，CVE-2020-27223披露在Eclipse Foundation中广泛使用的Jetty Web服务器拒绝服务漏洞。Eclipse Foundation是管理和运营Eclipse开源项目的基金会。

概述

新思科技网络安全研究中心(CyRC)研究人员发现了CVE-2020-27223漏洞，即Eclipse Jetty中的拒绝服务漏洞。Eclipse Jetty是一种广泛使用的开源Web服务器和Servlet容器。根据Eclipse Foundation网站，“ Jetty广泛应用于各种项目和产品，无论是开发阶段还是生产阶段。Jetty易于嵌入到设备、工具、框架、应用程序服务器和现代云服务中，长期以来一直受到开发人员的青睐。”

当Jetty处理包含带有大量质量因子参数（Accept请求头中的q值）的Accept请求头的请求时，CPU使用率较高，服务器可能会进入拒绝服务状态。新思科技研究人员认为，这是由于在org.eclipse.jetty.http.QuotedQualityCSV类的sort方法发现的漏洞导致：

image.png?imageView2/2/w/550

Jetty中唯一可以触发此行为的功能是：

默认错误处理–带QuotedQualityCSV的Accept请求头被用来确定要发回客户端的内容类型（html、文本、json和xml等）

StatisticsServlet –使用带有QuotedQualityCSV的Accept请求头被用来确定发回客户端的内容类型（xml、json、text、html等）

HttpServletRequest.getLocale（）–将 Accept-Language请求头与QuotedQualityCSV一起使用，以确定在此调用中返回哪种“首选”语言

HttpservletRequest.getLocales（）–与上面类似，但是根据Accept-Language请求头上的质量值返回一个有序的语言环境列表

DefaultServlet –使用带有QuotedQualityCSV的 Accept-Encoding请求头以确定应将哪种预压缩内容以静态内容（与Web应用程序中的url模式不匹配的内容）发回

当服务器遇到排序项数量足够大且q参数中的值足够分散多样化的请求时，排序数组会导致CPU使用率激增。新思科技研究人员没有观察到由此而导致的内存泄漏或崩溃。但是，服务器可能需要几分钟来处理单个请求，该请求的大小在几十KB范围内。研究人员观察到请求大小与CPU使用时间之间呈指数关系。

受影响的软件

Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本

Eclipse Jetty 10.0.0版本

Eclipse Jetty 11.0.0版本

影响

CVSS 3.1 评分

Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

评分5.3（中等）

漏洞可利用性指标：

攻击途径Attack Vector (AV): N = Network 网络

攻击复杂程度Attack Complexity (AC): L = Low低

所需权限Privileges Required (PR): N = None 无

用户交互User Interaction (UI): N = None 无

范围Scope (S): U = Unchanged 无变化

影响指标

机密性影响Confidentiality Impact (C): N = None 无

完整性影响Integrity Impact (I): N = None 无

可用性影响Availability Impact (A): L = Low低

修复

强烈建议Jetty的软件供应商和用户升级到9.4.38.v20210224、10.0.1或11.0.1版本。

漏洞发现者

位于芬兰奥卢的新思科技网络安全研究中心的研究人员Matti Varanka和Tero Rontti

凭借Defensics® 模糊测试工具发现了此漏洞。

新思科技感谢Webtide（Jetty的维护团队）及时地响应并修复此漏洞。

时间线

2021年1月5日：发现Jetty的漏洞

2021年2月10日：将漏洞信息反馈给Webtide（Jetty的维护团队）

2021年2月11日：Webtide确认Jetty存在漏洞，归为CVE-2020-27223

2021年2月22日：Webtide 发布修复

2021年2月26日：发布CVE-2020-27223修复建议

新思科技

上一篇:派拓网络云交付平台Prisma Access 2.0，增强IoT安全性

下一篇:减少边缘节点洞察时间，让数据处理更高效

先进嵌入式解决方案的领导者赛普拉斯半导体公司（纳斯达克股票代码：CY）近日宣布，由奥迪与Elektrobit合资成立的e.solutions GmbH公司已将赛普拉斯的无线连接解决方案应用于全新车载通信设备中，包括奥迪A8 2018款。驾驶者和乘客可以利用赛普拉斯的802.11ac和Bluetooth® combo解决方案，同时将8台设备连接到Alpine通信设备的Wi-Fi®热点。作为通信设...

2019年03月08日 | Cortex-M3寄存器组

1、通用目的寄存器R0~R7 R0-R7 也被称为低组寄存器。所有指令都能访问它们。它们的字长全是 32 位，复位后的初始值是不可预料的。2、通用目的寄存器 R8-R12 R8-R12 也被称为高组寄存器。这是因为只有很少的 16 位 Thumb 指令能访问它们， 32 位的thumb-2 指令则不受限制。它们也是 32 位字长，且复位后的初始值是不...

2020年03月08日 | STM32开发笔记84: SX1268驱动程序设计（SPI总线）

单片机型号：STM32L053R8T6本系列开发日志，将详述SX1268驱动程序的整个设计过程，本篇介绍SPI总线驱动程序。一、数据手册1、关键点：全双工SPICPOL=0，CPHA=0从器件写操作：地址字节+数据字节读操作：直接发送地址字节，就可返回一个数据字节NSS在整个帧传输过程保持低电平MISO在NSS为高时为高阻态SCK最大时钟16M2、几个时序图，t10是指从睡眠状态唤醒，N...

2021年03月08日 | 越南制造，会成为中国制造的最大敌手吗？

越南，国土面积约33万平方公里，大概相当于中国新疆的五分之一，比浙江、江苏和广东面积加起来小差不多5.46万平方公里。但越南国土形状狭长，海岸线长3260多公里。这样的越南，能否在电子信息制造业上成为中国制造的最大敌手？中国电子信息制造业现状如果要分析越南能不能成为中国电子信息制造业前进的拦路虎，那么就要先搞清楚中国电子信息制造业的现...

史海拾趣

Akros[台湾超硕股份有限公司]公司的发展小趣事

品质是Akros公司的生命线。公司始终坚持严格的质量控制体系，从原材料采购到产品出厂的每一个环节都进行严格把关。为了确保产品的品质稳定可靠，Akros还引进了先进的生产设备和检测仪器。同时，公司还注重持续改进，通过不断优化生产流程和提升员工技能水平，不断提高产品的品质和效率。

Cressall Power Resistors公司的发展小趣事

为了确保产品质量和稳定供应，Cressall投入大量资源建设质量管理体系。公司引入了先进的质量管理方法和工具，对生产过程中的每一个环节进行严格把控。同时，公司还建立了完善的质量检测体系，确保出厂产品的合格率。这些措施有效提升了公司的产品质量和客户满意度，为公司的长远发展奠定了坚实的基础。

Andigilog公司的发展小趣事

Falco Electronics公司的发展小趣事

随着公司的发展，Falco Electronics开始积极拓展市场。公司不仅在国内市场取得了显著成绩，还积极开拓国际市场。同时，Falco Electronics还与其他行业领军企业开展战略合作，共同开发新产品、拓展新市场。这些合作不仅为公司带来了更多的商机，也提升了公司在行业内的地位和影响力。

安纳森(AnaSem)公司的发展小趣事

随着技术的不断成熟和市场的逐步扩大，安纳森开始将目光投向更广阔的全球市场。公司积极与全球各地的合作伙伴建立战略合作关系，共同开拓市场。同时，安纳森还设立了多个海外研发中心和销售网点，以便更好地了解当地市场需求，提供更贴近用户的产品和服务。这一系列的全球化布局，不仅提升了安纳森的品牌影响力，也为其未来的发展奠定了坚实的基础。

HELUKABEL公司的发展小趣事

在电子行业中，晶振模组是众多电子设备不可或缺的核心组件。安纳森(AnaSem)公司自创立之初，便致力于研发创新的晶振模组技术。面对市场上多数厂家仍依赖传统晶体制作方法的现状，安纳森凭借其深厚的研发实力和前瞻性的技术视野，成功研发出以单体式集成电路为核心的晶振模组制作技术。这一技术的突破不仅大幅提升了晶振模组的性能与稳定性，更使得安纳森在激烈的市场竞争中脱颖而出，迅速占据了行业的一席之地。