公告ID(KYSA-202302-1005)
公告ID:KYSA-202302-1005
公告摘要:jetty安全漏洞
等级:Important
发布日期:2023-02-07
详细介绍
1.修复的CVE
·CVE-2022-2047
描述:Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 URI 解析可能会产生无效的 HttpURI.authority,以下产品和版本受到影响:Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。
·CVE-2022-2048
描述:Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 HTTP/2 请求可能导致拒绝服务,以下产品和版本受到影响:Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。
2.受影响的软件包
·银河麒麟高级服务器操作系统 V10 SP3
·loongarch64架构:
jetty、jetty-alpn-client、jetty-alpn-server、jetty-annotations、jetty-ant、jetty-cdi、jetty-client、jetty-continuation、jetty-deploy、jetty-fcgi-client、jetty-fcgi-server、jetty-http、jetty-http-spi、jetty-http2-client、jetty-http2-common、jetty-http2-hpack、jetty-http2-http-client-transport、jetty-http2-server、jetty-httpservice、jetty-infinispan、jetty-io、jetty-jaas、jetty-jaspi、jetty-javadoc、jetty-javax-websocket-client-impl、jetty-javax-websocket-server-impl、jetty-jmx、jetty-jndi、jetty-jsp、jetty-jspc-maven-plugin、jetty-jstl、jetty-maven-plugin、jetty-nosql、jetty-osgi-alpn、jetty-osgi-boot、jetty-osgi-boot-jsp、jetty-osgi-boot-warurl、jetty-plus、jetty-project、jetty-proxy、jetty-quickstart、jetty-rewrite、jetty-security、jetty-server、jetty-servlet、jetty-servlets、jetty-spring、jetty-start、jetty-unixsocket、jetty-util、jetty-util-ajax、jetty-webapp、jetty-websocket-api、jetty-websocket-client、jetty-websocket-common、jetty-websocket-server、jetty-websocket-servlet、jetty-xml
3.软件包修复版本
·银河麒麟高级服务器操作系统 V10 SP3 (loongarch64)
jetty-9.4.16-2.a.ky10或以上版本
jetty-alpn-client-9.4.16-2.a.ky10或以上版本
jetty-alpn-server-9.4.16-2.a.ky10或以上版本
jetty-annotations-9.4.16-2.a.ky10或以上版本
jetty-ant-9.4.16-2.a.ky10或以上版本
jetty-cdi-9.4.16-2.a.ky10或以上版本
jetty-client-9.4.16-2.a.ky10或以上版本
jetty-continuation-9.4.16-2.a.ky10或以上版本
jetty-deploy-9.4.16-2.a.ky10或以上版本
jetty-fcgi-client-9.4.16-2.a.ky10或以上版本
jetty-fcgi-server-9.4.16-2.a.ky10或以上版本
jetty-http-9.4.16-2.a.ky10或以上版本
jetty-http-spi-9.4.16-2.a.ky10或以上版本
jetty-http2-client-9.4.16-2.a.ky10或以上版本
jetty-http2-common-9.4.16-2.a.ky10或以上版本
jetty-http2-hpack-9.4.16-2.a.ky10或以上版本
jetty-http2-http-client-transport-9.4.16-2.a.ky10或以上版本
jetty-http2-server-9.4.16-2.a.ky10或以上版本
jetty-httpservice-9.4.16-2.a.ky10或以上版本
jetty-infinispan-9.4.16-2.a.ky10或以上版本
jetty-io-9.4.16-2.a.ky10或以上版本
jetty-jaas-9.4.16-2.a.ky10或以上版本
jetty-jaspi-9.4.16-2.a.ky10或以上版本
jetty-javadoc-9.4.16-2.a.ky10或以上版本
jetty-javax-websocket-client-impl-9.4.16-2.a.ky10或以上版本
jetty-javax-websocket-server-impl-9.4.16-2.a.ky10或以上版本
jetty-jmx-9.4.16-2.a.ky10或以上版本
jetty-jndi-9.4.16-2.a.ky10或以上版本
jetty-jsp-9.4.16-2.a.ky10或以上版本
jetty-jspc-maven-plugin-9.4.16-2.a.ky10或以上版本
jetty-jstl-9.4.16-2.a.ky10或以上版本
jetty-maven-plugin-9.4.16-2.a.ky10或以上版本
jetty-nosql-9.4.16-2.a.ky10或以上版本
jetty-osgi-alpn-9.4.16-2.a.ky10或以上版本
jetty-osgi-boot-9.4.16-2.a.ky10或以上版本
jetty-osgi-boot-jsp-9.4.16-2.a.ky10或以上版本
jetty-osgi-boot-warurl-9.4.16-2.a.ky10或以上版本
jetty-plus-9.4.16-2.a.ky10或以上版本
jetty-project-9.4.16-2.a.ky10或以上版本
jetty-proxy-9.4.16-2.a.ky10或以上版本
jetty-quickstart-9.4.16-2.a.ky10或以上版本
jetty-rewrite-9.4.16-2.a.ky10或以上版本
jetty-security-9.4.16-2.a.ky10或以上版本
jetty-server-9.4.16-2.a.ky10或以上版本
jetty-servlet-9.4.16-2.a.ky10或以上版本
jetty-servlets-9.4.16-2.a.ky10或以上版本
jetty-spring-9.4.16-2.a.ky10或以上版本
jetty-start-9.4.16-2.a.ky10或以上版本
jetty-unixsocket-9.4.16-2.a.ky10或以上版本
jetty-util-9.4.16-2.a.ky10或以上版本
jetty-util-ajax-9.4.16-2.a.ky10或以上版本
jetty-webapp-9.4.16-2.a.ky10或以上版本
jetty-websocket-api-9.4.16-2.a.ky10或以上版本
jetty-websocket-client-9.4.16-2.a.ky10或以上版本
jetty-websocket-common-9.4.16-2.a.ky10或以上版本
jetty-websocket-server-9.4.16-2.a.ky10或以上版本
jetty-websocket-servlet-9.4.16-2.a.ky10或以上版本
jetty-xml-9.4.16-2.a.ky10或以上版本
4.修复方法
方法一:配置源进行升级安装
1.打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
银河麒麟高级服务器操作系统 V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/
2.配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包
列表进行升级安装, 命令如下:
yum install Packagename
3.升级完成后是否需要重启服务或操作系统:
CVE-2022-2047:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2022-2048:无需重启操作系统与服务即可使漏洞修复生效。
5.软件包下载地址
·银河麒麟高级服务器操作系统 V10 SP3
jetty(loongarch64)软件包下载地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-alpn-client-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-alpn-server-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-annotations-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-ant-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-cdi-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-client-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-continuation-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-deploy-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-fcgi-client-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-fcgi-server-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http-spi-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-client-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-common-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-hpack-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-http-client-transport-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-http2-server-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-httpservice-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-infinispan-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-io-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jaas-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jaspi-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-javadoc-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-javax-websocket-client-impl-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-javax-websocket-server-impl-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jmx-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jndi-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jsp-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jspc-maven-plugin-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-jstl-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-maven-plugin-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-nosql-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-alpn-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-boot-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-boot-jsp-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-osgi-boot-warurl-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-plus-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-project-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-proxy-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-quickstart-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-rewrite-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-security-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-server-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-servlet-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-servlets-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-spring-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-start-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-unixsocket-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-util-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-util-ajax-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-webapp-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-api-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-client-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-common-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-server-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-websocket-servlet-9.4.16-2.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jetty-xml-9.4.16-2.a.ky10.noarch.rpm
注:其他相关依赖包请到相同目录下载
6.修复验证
使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。
sudo rpm -qa | grep Packagename