模糊測試能有效地在服務(wù)和協(xié)議中識別缺陷以及零日漏洞。近日，新思科技的研究人員憑借Defensics模糊測試工具發(fā)現了Jetty Web服務(wù)器的漏洞。CVE-2020-27223披露在Eclipse Foundation中廣泛使用的Jetty Web服務(wù)器拒絕服務(wù)漏洞。Eclipse Foundation是管理和運營(yíng)Eclipse開(kāi)源項目的基金會(huì )。

• 默認錯誤處理-帶QuotedQualityCSV的Accept請求頭被用來(lái)確定要發(fā)回客戶(hù)端的內容類(lèi)型（html、文本、json和xml等）
• StatisticsServlet -使用帶有QuotedQualityCSV的Accept請求頭被用來(lái)確定發(fā)回客戶(hù)端的內容類(lèi)型（xml、json、text、html等）
• HttpServletRequest.getLocale（）-將 Accept-Language請求頭與QuotedQualityCSV一起使用，以確定在此調用中返回哪種“首選”語(yǔ)言
• HttpservletRequest.getLocales（）-與上面類(lèi)似，但是根據Accept-Language請求頭上的質(zhì)量值返回一個(gè)有序的語(yǔ)言環(huán)境列表
• DefaultServlet -使用帶有QuotedQualityCSV的 Accept-Encoding請求頭以確定應將哪種預壓縮內容以靜態(tài)內容（與Web應用程序中的url模式不匹配的內容）發(fā)回

　　當服務(wù)器遇到排序項數量足夠大且q參數中的值足夠分散多樣化的請求時(shí)，排序數組會(huì )導致CPU使用率激增。新思科技研究人員沒(méi)有觀(guān)察到由此而導致的內存泄漏或崩潰。但是，服務(wù)器可能需要幾分鐘來(lái)處理單個(gè)請求，該請求的大小在幾十KB范圍內。研究人員觀(guān)察到請求大小與CPU使用時(shí)間之間呈指數關(guān)系。

• Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本
• Eclipse Jetty 10.0.0版本
• Eclipse Jetty 11.0.0版本

• CVSS 3.1 評分
• Vector:  AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
• 評分5.3（中等）

• 攻擊途徑Attack Vector （AV）: N = Network 網(wǎng)絡(luò )
• 攻擊復雜程度Attack Complexity （AC）: L = Low低
• 所需權限Privileges Required （PR）: N = None 無(wú)
• 用戶(hù)交互User Interaction （UI）: N = None 無(wú)
• 范圍Scope （S）: U = Unchanged 無(wú)變化

• 機密性影響Confidentiality Impact （C）: N = None 無(wú)
• 完整性影響Integrity Impact （I）: N = None 無(wú)
• 可用性影響Availability Impact （A）: L = Low低

• 位于芬蘭奧盧的新思科技網(wǎng)絡(luò )安全研究中心的研究人員Matti Varanka和Tero Rontti
• 憑借Defensics模糊測試工具發(fā)現了此漏洞。
• 新思科技感謝Webtide（Jetty的維護團隊）及時(shí)地響應并修復此漏洞。

• 2021年1月5日：發(fā)現Jetty的漏洞
• 2021年2月10日：將漏洞信息反饋給Webtide（Jetty的維護團隊）
• 2021年2月11日：Webtide確認Jetty存在漏洞，歸為CVE-2020-27223
• 2021年2月22日：Webtide 發(fā)布修復
• 2021年2月26日：發(fā)布CVE-2020-27223修復建議