Een ernstige kwetsbaarheid, CVE-2025-5115, is ontdekt in Eclipse Jetty waarbij een HTTP/2-client de server kan overbelasten door het versturen van onjuiste frames. Deze kwetsbaarheid treft versies tot en met 9.4.57, 10.0.25, 11.0.25, 12.0.21 en 12.1.0.alpha2. Middels deze exploit kan een aanvaller de server laten reageren met RST_STREAM frames, waardoor systeembronnen zoals CPU en geheugen onnodig worden belast.
Door bijvoorbeeld een stream te openen en WINDOWS_UPDATE frames met een grootte-increment van nul te versturen, kan de server worden gedwongen onevenredig veel middelen te gebruiken. Dit kan zelfs zonder de maximale hoeveelheid gelijktijdige streams te overschrijden, wat leidt tot potentieel overmatige belasting in korte tijd.
Overzicht
De aanval is uitgevoerd onder andere door het verzenden van ongeldige DATA frames voor gesloten streams en forceert de server om continu RST_STREAM frames te genereren.
Aanbevelingen
- Het is sterk aanbevolen om de getroffen Jetty-versies bij te werken naar de nieuwste releases om deze kwetsbaarheid te mitigeren.
Bronnen
- Security advisory op GitHub
- Release Notes Jetty 12.1.0
- Release Notes Jetty 12.0.25
- Release Notes Jetty 11.0.26
- Release Notes Jetty 10.0.26
- Release Notes Jetty 9.4.58
Vraag en Antwoord
Wat is CVE-2025-5115?
Het betreft een kwetsbaarheid in Eclipse Jetty die aanvallers in staat stelt overmatige serverbronnen te verbruiken middels misbruik van het HTTP/2-protocol.
Welke systemen zijn kwetsbaar voor CVE-2025-5115?
Eclipse Jetty versies <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, en <=12.1.0.alpha2 zijn kwetsbaar en moeten worden bijgewerkt.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn updates beschikbaar die deze kwetsbaarheden verhelpen. Raadpleeg de release notes voor meer informatie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan serverbronnen overmatig belasten, wat kan leiden tot verminderde prestaties of zelfs downtime.
