Várias vulnerabilidades foram descobertas no Netty, uma estrutura de soquete cliente / servidor Java NIO:
Pacote: netty-3.9
Versão: 3.9.0.Final-1 + deb8u1
ID da CVE: CVE-2014-0193 CVE-2014-3488 CVE-2019-16869 CVE-2019-20444
CVE-2019-20445 CVE-2020-7238
Erro no Debian: 746639 941266 950966 950967
Várias vulnerabilidades foram descobertas no Netty, um Java NIO
estrutura de soquete cliente / servidor:
CVE-2014-0193
WebSocket08FrameDecoder permite que atacantes remotos causem uma negação
de serviço (consumo de memória) por meio de um TextWebSocketFrame seguido
por um longo fluxo de ContinuationWebSocketFrames.
CVE-2014-3488
O SslHandler permite que atacantes remotos causem uma negação de
serviço (loop infinito e consumo de CPU) por meio de um
Olá, mensagem SSLv2.
CVE-2019-16869
Netty manipula espaço em branco antes dos dois pontos nos cabeçalhos HTTP (como
como uma linha "Transfer-Encoding: chunked"), que leva ao HTTP
solicitar contrabando.
CVE-2019-20444
HttpObjectDecoder.java permite um cabeçalho HTTP sem dois pontos,
que pode ser interpretado como um cabeçalho separado com uma incorreta
sintaxe ou pode ser interpretado como uma "dobra inválida".
CVE-2019-20445
HttpObjectDecoder.java permite que um cabeçalho Content-Length seja
acompanhada por um segundo cabeçalho Content-Length ou por um
Cabeçalho de codificação de transferência.
CVE-2020-7238
O Netty permite o contrabando de solicitação de HTTP porque manipula incorretamente
Espaço em branco da codificação de transferência (como um
[space] Transfer-Encoding: linha em pedaços) e um conteúdo-comprimento posterior
cabeçalho.
Para o Debian 8 "Jessie", esses problemas foram corrigidos na versão
3.9.0.Final-1 + deb8u1.
Recomendamos que você atualize seus pacotes netty-3.9.
Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário