Deutschland: Mehrere Jetty-Schwachstellen erlauben DoS-Angriff und Datenexfiltration
Der CERT-Bund hat in seiner Sicherheitsberatung WID-SEC-2026-2314 mehrere kritische Schwachstellen im Java-Webserver Eclipse Jetty dokumentiert. Laut Angaben können entfernte Angreifer die Lücken ausnutzen, um den Dienst zu unterbrechen, Sicherheitsmechanismen zu umgehen und vertrauliche Daten offenzulegen.
Betroffene Komponenten
Die Analyse bezieht sich auf verschiedene Module von Eclipse Jetty, darunter die HTTP-Request-Verarbeitung, das Thread‑Management und die Konfigurationsschnittstellen. Jede betroffene Komponente weist eigene Ausnutzungsvektoren auf, die kombiniert werden können.
Ausnutzbare Szenarien
Ein Angreifer kann über speziell gestaltete Anfragen das Ressourcenmanagement überlasten, wodurch ein Denial‑of‑Service (DoS) ausgelöst wird. Zusätzlich ermöglichen manche Schwachstellen das Umgehen von Authentifizierungsprüfungen, was den Zugriff auf geschützte Informationen erlaubt.
Potenzielle Auswirkungen
Die Kombination aus Serviceunterbrechung und Datenexfiltration kann sowohl den Betrieb von Web‑Anwendungen als auch die Vertraulichkeit von Benutzerdaten gefährden. Unternehmen, die Jetty in produktiven Umgebungen einsetzen, sollten die Risiken als hoch einstufen.
Empfohlene GegenmaĂźnahmen
Der CERT‑Bund rät dazu, alle verfügbaren Patches von der offiziellen Eclipse‑Jetty‑Projektseite zu installieren und die Konfiguration auf empfohlene Sicherheitseinstellungen zu prüfen. Darüber hinaus sollten Netzwerk‑Firewalls so konfiguriert werden, dass ungewöhnliche Anfrage‑Muster blockiert werden.
Verbreitung und Update‑Status
Die Schwachstellen betreffen aktuelle Jetty‑Versionen, die seit 2024 veröffentlicht wurden. Der Hersteller hat bereits Updates bereitgestellt; ein schneller Roll‑out wird dringend empfohlen, um Angriffsflächen zu schließen.
Betroffene Betreiber werden aufgefordert, die Sicherheitsberatung des CERT‑Bundes zu prüfen und unverzüglich geeignete Schutzmaßnahmen zu implementieren.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Uebertragung