GDS安全公司发现了一个 jetty web server的安全漏洞,该漏洞允许攻击者远程获取其他用户的历史请求信息。
简单来说,如果你使用存在漏洞版本的jetty,那么你的密码、请求头、cookie、anti-csrf token等信息都将面临被窃取风险。比如post请求中包含的信息。
GDS还发现一个重要的事情就是,此数据泄漏漏洞本身并不局限于request请求,还可以应用在response上,相关文章只简单演示了攻击request。
漏洞产生原因:
当攻击者提交非法的headers给服务器时会触发异常处理代码,从而返回一个约16字节的共享缓冲区数据。所以攻击者可以通过精心构造得headers值来触发异常并偏移到共享缓冲区,其中包含了之前其他用户提交的请求,服务器会根据攻击者的payload返回特定位置的数据。
漏洞影响的版本:
9.2.3-9.2.8,以及新的公测版本和9.3.x版本
Gds提供了一个简单的python脚本用于测试是否存在该漏洞,读者可以从github上下载该脚本。
https://github.com/GDSSecurity/Jetleak-Testing-Script
安全建议:
立即更新到version 9.2.9.v20150224。
可以通过以下地址进行更新:
Jetty Downloads Page - http://download.eclipse.org/jetty
若需要参考漏洞具体成因和利用方法,请参考漏洞原文: