Veraltete Jetty Version in Opencast (Sicherheitsrelevant?)

[Stephan Krinetzki]

Hallo zusammen,

bei uns wird über die Opencast Server Infrastruktur regelmäßig ein GreenBone/OpenVAS Scan durchgeführt, der die System auf Sicherheitslücken überprüft. Dabei ist in einem aktuellen Bereicht folgendes Aufgefallen:

Eclipse Jetty Server Fake Pipeline Request Security Bypass Vulnerability

The host is installed with Eclipse Jetty Server and is prone to security bypass vulnerability.

Vulnerability Detection Result
Installed version: 9.2.21.20170120
Fixed version: 9.2.25.v20180606
Installation
path / port: 443/tcp
Impact
Successful exploitation will allow an attacker to bypass authorization.
Impact Level: Application
Solution
Solution type: VendorFix
Upgrade to Eclipse Jetty Server version 9.2.25.v20180606 or 9.3.24.v20180605 or 9.4.11.v20180605 or
later as per the series. For updates refer to Reference links.
Vulnerability Insight
The flaw exists due to an improper validation against pipelined requests.

Vulnerability Detection Method
Checks if a vulnerable version is present on the target host.
Product Detection Result
Product: cpe:/a:eclipse:jetty:9.2.21.20170120
Method: Jetty Version Detection
(OID: 1.3.6.1.4.1.25623.1.0.800953)
References
CVE: CVE-2017-7658
CERT: DFN-CERT-2018-1683, DFN-CERT-2018-1285
Other:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=535669,
https://www.eclipse.org/jetty/

Kann ich den Jetty Server ohne Probleme austauschen bzw. wann ist es geplant, denn zu ersetzen? Die Sicherehitslücke wird innerhalb von OpenVAS mit 7.5/10 bewertet, was ich schon kritisch finde.

Gruß

Stephan