Eclipse Jetty 拒绝服务 (CVE-2020-27223)¶

当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头的请求时，CPU使用率较高，服务器可能会进入拒绝服务状态。

受影响版本：

• · Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本
• · Eclipse Jetty 10.0.0版本
• · Eclipse Jetty 11.0.0版本

cve-2020-27223-poc1.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc1.sh

cve-2020-27223-poc2.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc2.sh

$ ./poc/cve-2020-27223-poc2.sh
curl: (28) Operation timed out after 120000 milliseconds with 0 bytes received

real        2m0.025s
user        0m0.016s
sys        0m0.009s

ref:

• https://github.com/eclipse/jetty.project/security/advisories/GHSA-m394-8rww-3jr7
• https://github.com/motikan2010/CVE-2020-27223