Eclipse Jetty 拒绝服务 (CVE-2020-27223)

# Eclipse Jetty 拒绝服务 (CVE-2020-27223)

当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头的请求时，CPU使用率较高，服务器可能会进入拒绝服务状态。

受影响版本：

* · Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本
* · Eclipse Jetty 10.0.0版本
* · Eclipse Jetty 11.0.0版本

cve-2020-27223-poc1.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc1.sh

cve-2020-27223-poc2.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc2.sh

“`bash
$ ./poc/cve-2020-27223-poc2.sh
curl: (28) Operation timed out after 120000 milliseconds with 0 bytes received

real 2m0.025s
user 0m0.016s
sys 0m0.009s
“`

ref:

* https://github.com/eclipse/jetty.project/security/advisories/GHSA-m394-8rww-3jr7
* https://github.com/motikan2010/CVE-2020-27223