Skip to content

Latest commit

 

History

History
28 lines (18 loc) · 910 Bytes

Eclipse Jetty 拒绝服务 (CVE-2020-27223).md

File metadata and controls

28 lines (18 loc) · 910 Bytes

Eclipse Jetty 拒绝服务 (CVE-2020-27223)

当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头的请求时,CPU使用率较高,服务器可能会进入拒绝服务状态。

受影响版本:

  • · Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本
  • · Eclipse Jetty 10.0.0版本
  • · Eclipse Jetty 11.0.0版本

cve-2020-27223-poc1.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc1.sh

cve-2020-27223-poc2.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc2.sh

$ ./poc/cve-2020-27223-poc2.sh
curl: (28) Operation timed out after 120000 milliseconds with 0 bytes received

real        2m0.025s
user        0m0.016s
sys        0m0.009s

ref: