Se descubrieron dos vulnerabilidades de seguridad explotables de forma remota en Jetty 9, un servidor web y motor de servlet basado en Java. La implementación del protocolo HTTP/2 no verificó suficientemente si los valores del encabezado HPACK exceden su límite de tamaño. Además, el protocolo HTTP/2 permitía una denegación de servicio (consumo de recursos del servidor) porque la cancelación de la solicitud puede restablecer muchas transmisiones rápidamente. Este problema también se conoce como ataque de reinicio rápido.

En el diccionario CVE de Mitre: CVE-2023-36478 , CVE-2023-44487 .

jetty9

Para la distribución antigua estable (bullseye), estos problemas se solucionaron en la versión 9.4.50-4+deb11u1.

Para la distribución estable (bookworm), estos problemas se solucionaron en la versión 9.4.50-4+deb12u2.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es