概要
Eclipse Jetty は Java ベース の Web サーバー および サーブレットコンテナ です。Jetty 12 の GzipHandler に おいて、JDK の Inflater オブジェクト が 適切 に 解放 されず メモリリーク が 発生 する 脆弱性 が 存在 します。
CWE-400(Uncontrolled Resource Consumption)および CWE-401(Missing Release of Memory after Effective Lifetime)に 分類 される この 問題 に より、継続的 な リクエスト処理 に よって ヒープメモリ が 枯渇 し、サービス拒否(DoS)状態 に 陥る 可能性 が あります。
GzipHandler を 使用 して いる Jetty 12 環境 で は、速やか に 修正 バージョン へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-400 (制御されないリソース消費) / CWE-401 (メモリ解放漏れ) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Jetty 12 | Eclipse Foundation | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: Eclipse Jetty の 最新 バージョン へ アップデート
- 暫定回避策: GzipHandler を 無効化 する、または リバースプロキシ 側 で gzip 圧縮 を 処理 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。