| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Jetty httpd bis 9.2.8 entdeckt. Betroffen davon ist ein unbekannter Prozess der Komponente HttpParser. Mittels Manipulieren mit unbekannten Daten kann eine Information Disclosure-Schwachstelle (Memory) ausgenutzt werden. Diese Schwachstelle wird als CVE-2015-2080 gehandelt. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In Jetty httpd bis 9.2.8 (Web Server) wurde eine problematische Schwachstelle ausgemacht. Es geht um unbekannter Code der Komponente HttpParser. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Memory) ausgenutzt werden. CWE definiert das Problem als CWE-200. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
The exception handling code in Eclipse Jetty before 9.2.9.v20150224 allows remote attackers to obtain sensitive information from process memory via illegal characters in an HTTP header, aka JetLeak.Die Schwachstelle wurde am 24.02.2015 durch DiGiT als HttpParser Error Buffer Bleed Vulnerability in Form eines bestätigten Advisories (GIT Repository) öffentlich gemacht. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 24.02.2015 als CVE-2015-2080 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet. Das Advisory weist darauf hin:
Jetty versions 9.2.3.v20140905 through 9.2.8.v20150217 have a ByteBuffer reuse and information bleed vulnerability surrounding bad HTTP request header parsing error responses.Ein öffentlicher Exploit wurde durch LiquidWorm in Bash entwickelt und direkt nach dem Advisory veröffentlicht. Unter github.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 27.02.2015 ein Plugin mit der ID 81576 (Jetty HttpParser Error Remote Memory Disclosure) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 123447 (Fedora Security Update for jetty (FEDORA-2015-2673)) zur Prüfung der Schwachstelle an. Der durch den Exploit genutzte Code gestaltet sich wie folgt:
nc localhost 8080 << BADCOOKIE
GET $RESOURCEPATH HTTP/1.1
Host: localhost
Coo${BAD}kie: ${BAD} Das Advisory zeigt auf:(...) the implementation incorrectly exposes this debug information back on the HTTP 400 response reason phrase, potentially exposing parts of server side buffers used from prior request processing on the same server.Ein Aktualisieren auf die Version 9.2.9.v20150224 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von bugs.eclipse.org bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 19668 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (39455), Tenable (81576), SecurityFocus (BID 72768†), SecurityTracker (ID 1031800†) und Vulnerability Center (SBV-49152†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.1
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: MemoryKlasse: Information Disclosure / Memory
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: LiquidWorm
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 81576
Nessus Name: Jetty HttpParser Error Remote Memory Disclosure
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 900656
OpenVAS Name: Jetty Shared Buffers Information Leakage Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Upgrade: httpd 9.2.9.v20150224
Patch: bugs.eclipse.org
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
Fortigate IPS: 🔍
Timeline
24.02.2015 🔍24.02.2015 🔍
24.02.2015 🔍
24.02.2015 🔍
24.02.2015 🔍
25.02.2015 🔍
26.02.2015 🔍
27.02.2015 🔍
19.03.2015 🔍
17.02.2016 🔍
07.10.2016 🔍
29.11.2024 🔍
Quellen
Advisory: HttpParser Error Buffer Bleed VulnerabilityPerson: DiGiT
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2015-2080 (🔍)
GCVE (CVE): GCVE-0-2015-2080
GCVE (VulDB): GCVE-100-69235
SecurityFocus: 72768 - Jetty CVE-2015-2080 Information Disclosure Vulnerability
SecurityTracker: 1031800 - Jetty HTTP Parsing Bug Lets Remote Users Obtain Sensitive Information From Previous User Requests
Vulnerability Center: 49152 - Jetty Web Server Remote Information Disclosure due to Improper Handling of Illegal Characters in Header Values, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 26.02.2015 17:17Aktualisierung: 29.11.2024 03:04
Anpassungen: 26.02.2015 17:17 (94), 23.06.2017 10:29 (10), 10.03.2022 21:38 (4), 29.11.2024 03:04 (16)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.