发布日期：2021-06-22
更新日期：2021-09-29

受影响系统：

Eclipse Jetty 9.4.33-1~bpo10+1
Eclipse Jetty 9.4.33-1
Eclipse Jetty 9.4.33
Eclipse Jetty 9.4.31-1~bpo10+1
Eclipse Jetty 9.4.31-1
Eclipse Jetty 9.4.31
Eclipse Jetty 9.4.29-1
Eclipse Jetty 9.4.29
Eclipse Jetty 9.4.28-1~bpo10+1
Eclipse Jetty 9.4.28-1
Eclipse Jetty 9.4.28
Eclipse Jetty 9.4.27-1
Eclipse Jetty 9.4.26-1~bpo10+1
Eclipse Jetty 9.4.26-1
Eclipse Jetty 9.4.26
Eclipse Jetty 9.4.18-2
Eclipse Jetty 9.4.18-1
Eclipse Jetty 9.4.15-1
Eclipse Jetty 9.4.15
Eclipse Jetty 9.4.14-1

描述：

---

CVE(CAN) ID: CVE-2021-34428

Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty存在信息泄露漏洞。该漏洞产生的原因是如果SessionListener#sessionDestroyed() 方法抛出异常则会话ID在会话ID管理器中无法失效。攻击者可利用该漏洞绕过Eclipse Jetty的SessionListener限制，从而获取敏感信息。

<**>

建议：

---

厂商补丁：

Eclipse
-------
目前厂商已经发布了升级补丁以修复这个安全问题，补丁获取链接：

https://lists.apache.org/thread.html/ref1c161a1621504e673f9197b49e6efe5a33ce3f0e6d8f1f804fc695@%3Cjira.kafka.apache.org%3E

浏览次数：4439
严重程度：0（网友投票）