Logo del proyecto Jetty

Logo del proyecto Jetty

Hace unos días se publicó la versión de Jetty 9.2.9.v20150224. Está considerada critical security para todos las instalaciones desde la 9.2.3 a la 9.2.8 debido a la vulnerabilidad [CVE-2015-2080]. La vulnerabilidad consiste en un leak de información en el servidor que permite a un atacante remoto no autenticado leer datos arbitrarios de solicitudes anteriores de otros usuarios. Básicamente, si se está ejecutando una versión vulnerable se puede acceder a toda clase de datos sensibles, incluyendo los datos de los headers (por ejemplo, las cookies, los tokens de autenticación, tokens anti-CSRF, etc.), así como los datos que van por POST (por ejemplo, nombres de usuario, contraseñas, tokens de autenticación, fichas CSRF, etc.) o incluso los datos de las respuestas. Vamos, una burrada. Afortunadamente, los desarrolladores del Jetty han publicado la actualización solo 5 días después de publicarse la vulnerabilidad.

Para actualizar, descárgate la nueva versión de aquí:

http://download.eclipse.org/jetty/stable-9/dist/

Y la documentación esta aquí:

http://www.eclipse.org/jetty/documentation/current

Si venías buscando esta versión en concreto pero ya no es la última, prueba a buscar en su archivo:

http://archive.eclipse.org/jetty/index.html