КиберосноваSGRC
BDU:2022-02206
Критический

BDU:2022-02206: Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

CVSS v39.8
CVSS v210.0

Детали уязвимости BDU:2022-02206

Описание

Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty связана с недостатками обработки заголовков Transfer-Encoding и Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Что делать с BDU:2022-02206

Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.8Критический
Пересчитать →
v2
10.0
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

Тактики и техники

Подмена при взаимодействии

Уязвимое ПО (22)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Oracle Corp.Retail Xstore Payment3.3Не указана
Oracle Corp.Enterprise Manager Base Platform13.2.0Не указана
Oracle Corp.Enterprise Manager Base Platform13.3.0Не указана
Oracle Corp.Oracle Hospitality Guest Access4.2.0Не указана
Oracle Corp.Oracle Hospitality Guest Access4.2.1Не указана
Eclipse FoundationJettyот 9.3.0 до 9.3.24.v20180605Не указана
Eclipse FoundationJettyот 9.4.0 до 9.4.11.v20180605Не указана
Oracle Corp.REST Data Services11.2.0.4Не указана
Oracle Corp.REST Data Services12.1.0.2Не указана
Oracle Corp.REST Data Services12.2.0.1Не указана
Oracle Corp.REST Data Services18cНе указана
IBM Corp.Cognos Analytics11.0Не указана
IBM Corp.Cognos Analytics11.1Не указана
Oracle Corp.Oracle Communications Cloud Native Core Policy1.5.0Не указана
Eclipse FoundationJettyдо 9.2.25.v20180606Не указана
Apache Software FoundationBookKeeper4.9.2Не указана
HP Inc.HP Device Managerдо 8.6.2-00Не указана
Oracle Corp.Oracle Retail Xstore Point of Service7.1Не указана
Oracle Corp.Oracle Retail Xstore Point of Service15.0Не указана
Oracle Corp.Oracle Retail Xstore Point of Service16.0Не указана
Oracle Corp.Oracle Retail Xstore Point of Service17.0Не указана

Среды функционирования (1)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана

Рекомендации по устранению

Использование рекомендаций: Для Eclipse Jetty: https://www.eclipse.org/jetty/security_reports.php Для Debian: https://www.debian.org/security/2018/dsa-4278 Для Oracle: https://www.oracle.com//security-alerts/cpujul2021.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html Для Apache: https://lists.apache.org/thread/gg49mcoofz9w3t9rbm7w61ntqg2xqr3l Для продуктов HP: https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbst03953en_us Для продуктов IBM: https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-has-addressed-multiple-vulnerabilities-4/

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.8

Уточните SLA под вашу среду

Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации21.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2018-06-07

Опубликована

2022-04-13

Обновлена

2022-04-13

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0