CVE-2004-2381

Description

HttpRequest.java in Jetty HTTP Server before 4.2.19 allows remote attackers to cause denial of service (memory usage and application crash) via HTTP requests with a large Content-Length.

Affected products

• jetty / jetty_http_server4.0.0 – 4.0.0
• jetty / jetty_http_server4.0.1 – 4.0.1
• jetty / jetty_http_server4.0.1_rc0 – 4.0.1_rc0
• jetty / jetty_http_server4.0.1_rc1 – 4.0.1_rc1
• jetty / jetty_http_server4.0.1_rc2 – 4.0.1_rc2
• jetty / jetty_http_server4.0.2 – 4.0.2
• jetty / jetty_http_server4.0.3 – 4.0.3
• jetty / jetty_http_server4.0.4 – 4.0.4
• jetty / jetty_http_server4.0.5 – 4.0.5
• jetty / jetty_http_server4.0.6 – 4.0.6
• jetty / jetty_http_server4.0.b0 – 4.0.b0
• jetty / jetty_http_server4.0.b1 – 4.0.b1
• jetty / jetty_http_server4.0.b2 – 4.0.b2
• jetty / jetty_http_server4.0.d0 – 4.0.d0
• jetty / jetty_http_server4.0.d1 – 4.0.d1
• jetty / jetty_http_server4.0.d2 – 4.0.d2
• jetty / jetty_http_server4.0.d3 – 4.0.d3
• jetty / jetty_http_server4.0.d4 – 4.0.d4
• jetty / jetty_http_server4.0_rc1 – 4.0_rc1
• jetty / jetty_http_server4.0_rc2 – 4.0_rc2
• jetty / jetty_http_server4.0_rc3 – 4.0_rc3
• jetty / jetty_http_server4.1.0 – 4.1.0
• jetty / jetty_http_server4.1.0_rc0 – 4.1.0_rc0
• jetty / jetty_http_server4.1.0_rc1 – 4.1.0_rc1
• jetty / jetty_http_server4.1.0_rc2 – 4.1.0_rc2
• jetty / jetty_http_server4.1.0_rc3 – 4.1.0_rc3
• jetty / jetty_http_server4.1.0_rc4 – 4.1.0_rc4
• jetty / jetty_http_server4.1.0_rc5 – 4.1.0_rc5
• jetty / jetty_http_server4.1.0_rc6 – 4.1.0_rc6
• jetty / jetty_http_server4.1.1 – 4.1.1
• jetty / jetty_http_server4.1.2 – 4.1.2
• jetty / jetty_http_server4.1.3 – 4.1.3
• jetty / jetty_http_server4.1.4 – 4.1.4
• jetty / jetty_http_server4.1.b0 – 4.1.b0
• jetty / jetty_http_server4.1.b1 – 4.1.b1
• jetty / jetty_http_server4.1.d0 – 4.1.d0
• jetty / jetty_http_server4.1.d1 – 4.1.d1
• jetty / jetty_http_server4.1.d2 – 4.1.d2
• jetty / jetty_http_server4.2.0 – 4.2.0
• jetty / jetty_http_server4.2.0_beta0 – 4.2.0_beta0
• jetty / jetty_http_server4.2.0_rc0 – 4.2.0_rc0
• jetty / jetty_http_server4.2.0_rc1 – 4.2.0_rc1
• jetty / jetty_http_server4.2.1 – 4.2.1
• jetty / jetty_http_server4.2.2 – 4.2.2
• jetty / jetty_http_server4.2.3 – 4.2.3
• jetty / jetty_http_server4.2.4 – 4.2.4
• jetty / jetty_http_server4.2.4_rc0 – 4.2.4_rc0
• jetty / jetty_http_server4.2.5 – 4.2.5
• jetty / jetty_http_server4.2.6 – 4.2.6
• jetty / jetty_http_server4.2.7 – 4.2.7
• jetty / jetty_http_server4.2.8_01 – 4.2.8_01
• jetty / jetty_http_server4.2.9 – 4.2.9
• jetty / jetty_http_server4.2.9_rc1 – 4.2.9_rc1
• jetty / jetty_http_server4.2.9_rc2 – 4.2.9_rc2
• jetty / jetty_http_server4.2.10 – 4.2.10
• jetty / jetty_http_server4.2.10_pre0 – 4.2.10_pre0
• jetty / jetty_http_server4.2.10_pre1 – 4.2.10_pre1
• jetty / jetty_http_server4.2.11 – 4.2.11
• jetty / jetty_http_server4.2.12 – 4.2.12
• jetty / jetty_http_server4.2.14 – 4.2.14
• jetty / jetty_http_server4.2.14_rc0 – 4.2.14_rc0
• jetty / jetty_http_server4.2.14_rc1 – 4.2.14_rc1
• jetty / jetty_http_server4.2.15 – 4.2.15
• jetty / jetty_http_server4.2.15_rc0 – 4.2.15_rc0
• jetty / jetty_http_server4.2.16 – 4.2.16
• jetty / jetty_http_server4.2.17 – 4.2.17
• jetty / jetty_http_server4.2.18 – 4.2.18

References

• MISChttp://www.osvdb.org/4387
• VENDOR_ADVISORYhttp://secunia.com/advisories/11166/
• MISChttp://sourceforge.net/project/shownotes.php?release_id=224743
• MISChttps://exchange.xforce.ibmcloud.com/vulnerabilities/15537
• MISChttp://www.securityfocus.com/bid/9917
• MISChttp://cvs.sourceforge.net/viewcvs.py/jetty/Jetty/src/org/mortbay/http/HttpRequest.java?r1=1.75&r2=1.76